Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Lorsis@P2P

Alias:
W32.Lorsis.Worm (Symantec)

Descripción:
Gusano cuya propagación se realiza a través de la red de intercambio de ficheros de la aplicación KaZaA.

Puede eliminar ficheros criticos del sistemas si es ejecutado en febrero o del 6 al 31 de diciembre.

Además, intenta copiarse repetidamente en la los disquetes insertados en el equipo.

Esta escrito con Visual Basic y comprimido con Aspack and UPX.

Detalles:
Cuando Worm.W32/Lorsis@P2P es ejecutado, realiza las siguientes acciones:

  1. Se copia a sí mismo como C:\Windows\System\iexplorer.exe.
    Nota:
    Todos los nombres y rutas de ficheros utilizados por el fichero, los tiene fijados en su código. Si la estructura de directorios es a la que tiene la configuración por defecto de Windows95/98, el gusano se ejecutará, pero no copiará, eliminará o modificará ficheros exactamente como a continuación se describe.

  2. Elimina los ficheros:
    • C:\Windows\Regedit.exe
    • C:\Windows\System\Msconfig.exe

  3. Repetidamente, intenta copiarse a sí mismo en los disquetes insertados con el nombre "A:\Dreaming of You.doc .exe".

  4. Se copia a sí mismo en los directorios:
    • C:\Program Files\Kazaa\My Shared Folder
    • C:\Archivos de Programa\Kazaa\My Shared Folder
    con los siguientes nombres de fichero:
    • Cracks.zip .exe
    • CristinaAguilera.Jpg .exe
    • Dreaming of You.doc .exe
    • HackersBook.doc .exe
    • Hacking tools.zip .exe
    • Norton Antivirus 2003 Crack.zip .exe
    • Readme.doc .exe
    • SilviaSaintDoubleAnalAction.doc .exe

  5. Modifica el fichero C:\Windows\System.ini, de la siguiente manera: 
    En la sección: [boot]
en la línea: "shell"
añade: iexplorer.exe
(por ejemplo: shell = Explorer.exe iexplorer.exe
  6. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows: 
    Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
Valor: Internet Explorer = iexplorer.exe
  7. Modifica los siguientes parámetros del Internet Explorer, mediante el registro de Windows, de la siguiente manera: 
    Clave: HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Valores:
Start Page = - sitio web del autor del gusano -
Window title = "Dreaming of you - Te Amo Chiquita"
  8. Añade el valor indicado, a la siguiente clave del registro de Windows: 
    Clave: HKEY_CURRENT_USER
Valor: Copyright = Create by LoRd NeMeSis
  9. En caso de ser ejecutado durante febrero, o entre los días 6 y 31 de diciembre, el gusano crea y el fichero por lotes C:\Win.bat.
    Este fichero contiene los comandos necesarios para eliminar los siguientes ficheros:
    • En C:\Windows: *.ini, *.log, *.exe, *.com
    • En C:\Windows\System: *.dll, *.com, *.scr
    • En C:\Windows\System32: *.scr, *.exe, *.log, *.drv, *.dll, *.sys, *.com

Solución:

Uso de antivirus actualizado.

Más información acerca de este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados