Nombre:Worm/P2Load.A
Descubierto:16/09/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:45.081 Bytes
Suma de control MD5:38f55a87047ebe7e13cb01c036528c6a
Versión del VDF:6.32.0.14

 General Método de propagación:
   • Peer to Peer


Alias:
   •  Panda: W32/P2load.A.worm
   •  Bitdefender: Win32.Worm.P2P.Dutt.A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Descarga un fichero
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\winlogin.exe



Crea el siguiente fichero:

– %HOME%\Favorites\Musik, Filme, Software und vieles mehr kostenlos!.url



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.dutty.de/**********.dat
El fichero está guardado en el disco duro en: %WINDIR%\hosts Emplea este contenido para modificar el fichero hosts.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Winlogin"="%SYSDIR%\winlogin.exe"



Modifica la siguiente clave del registro:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • "Start Page"=%configuración definida por el usuario%
   • "Search Page"=%configuración definida por el usuario%
   • "Search Bar"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start Page"="http://www.p2p-load.de/share/?l=e"
   • "Search Page"="http://www.p2p-load.de/share/?l=e"
   • "Search Bar"="http://www.p2p-load.de/share/?l=e"

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca el siguiente directorio:
   • C:\Incoming

   Extrae carpetas compartidas tras emplear las siguientes claves del registro:
   • HKCU\Software\eMule\Install Path
   • HKCU\Software\Kazaa\localContent\DownloadDir
   • HKCU\Software\iMesh\iMesh5\Transfer\DownloadDir
   • HKCU\Software\Shareaza\Downloads\CompletePath

   Al tener éxito, crea el siguiente fichero:
   • %ficheros ejecutados%


 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios es redirigido a otras destinaciones:
   • www.google.de; www.google.at; www.google.se; www.google.nl;
      www.google.ch; www.google.pl; www.google.fr; www.google.ie;
      www.google.it; www.google.lv; www.google.pt; www.google.sk;
      www.google.es; www.google.hu; www.google.es; www.google.gr;
      www.google.com; google.de; google.at; google.se; google.nl; google.ch;
      google.pl; google.fr; google.ie; google.it; google.lv; google.pt;
      google.sk; google.es; google.hu; google.es; google.gr; google.com;
      wwwgoogle.at; wwwgoogle.se; wwwgoogle.nl; wwwgoogle.ch; wwwgoogle.pl;
      wwwgoogle.fr; wwwgoogle.ie; wwwgoogle.it; wwwgoogle.lv; wwwgoogle.pt;
      wwwgoogle.sk; wwwgoogle.es; wwwgoogle.hu; wwwgoogle.es; wwwgoogle.gr;
      wwwgoogle.com; www.gogle.de; www.gogle.at; www.gogle.se; www.gogle.nl;
      www.gogle.ch; www.gogle.pl; www.gogle.fr; www.gogle.ie; www.gogle.it;
      www.gogle.lv; www.gogle.pt; www.gogle.sk; www.gogle.es; www.gogle.hu;
      www.gogle.es; www.gogle.gr; www.gogle.com; gogle.de; gogle.at;
      gogle.se; gogle.nl; gogle.ch; gogle.pl; gogle.fr; gogle.ie; gogle.it;
      gogle.lv; gogle.pt; gogle.sk; gogle.es; gogle.hu; gogle.es; gogle.gr;
      gogle.com; www.googel.de; www.googel.at; www.googel.se; www.googel.nl;
      www.googel.ch; www.googel.pl; www.googel.fr; www.googel.ie;
      www.googel.it; www.googel.lv; www.googel.pt; www.googel.sk;
      www.googel.es; www.googel.hu; www.googel.es; www.googel.gr;
      www.googel.com; googel.de; googel.at; googel.se; googel.nl; googel.ch;
      googel.pl; googel.fr; googel.ie; googel.it; googel.lv; googel.pt;
      googel.sk; googel.es; googel.hu; googel.es; googel.gr; googel.com




El fichero host modificado se verá así:


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.

Descripción insertada por Oliver Auerbach el viernes 16 de septiembre de 2005
Descripción actualizada por Andrei Gherman el viernes 16 de septiembre de 2005

Volver . . . .