W32.Logpole.C, I.worm.Logpole.C

Logpole.C es un gusano reportado el 10 de Noviembre del 2003, de alta propagación masiva a través de la red de archivos compartidos Peer to Peer KaZaa, con un archivo de nombre System32.exe, sin efectos nocivos, excepto el de saturar los sistemas. 

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Borland Delphi, con una extensión de 453.5 KB.

Al ser ejecutado se copia al directorio %Windir% con el nombre de System32.exe y en el caso que existir la carpeta System32 en la ruta C:\Windows\System32, el gusano crea la sub-carpeta \Help:

C:\Windows\System32\Help

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000. 

Y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows-System" = "%Windir%\System32.exe"

Al siguiente inicio el gusano genera copias de sí mismo en la ruta C:\Windows\System32\Help con los siguientes nombres:

• DirectX 9.exe 

• DirectX.exe 

• DirectX Mini Installer.exe 

• MS Office BETA 2003 Keygen.exe 

• Ut2003 Key Cracker.exe 

• Lindows Keygen Maker.exe 

• MS Fish ScreenSaver.exe 

• Longhorn Cracker.exe 

• SimCity 4000 Cd Key.exe 

• Kazaa SpeedUp.exe 

• Full Codec Pack.exe 

• Messenger Plus 03.exe 

• MS Office 2003 WebDownloader.exe 

• GameSpy-Lite.exe 

• GameSpy Ad Crack.exe 

• RealOne Player Cracker.exe 

• RealOne Game Cracker.exe 

• MSN Chat Admin Client.exe

Y para propagarse a través de la red KaZaa crea la siguiente llave de registro:

[HKEY_CURRENT_USER\Software\Kazaa\LocalContent]
"Dir0"="012345:%Windir%\System32\Help"

Los payloads de este gusano son:

• Se propaga masivamente a través de la red P2P KaZaa. 

• No tiene efectos nocivos, excepto el saturar de archivos infectados a los usuarios de la red KaZaa. 

Fuente: PER