¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Khanani.A
Descubierto:28/01/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:147.456 Bytes
Suma de control MD5:889e0Ae6f6e8469c070Ee2ed3c2d58f8
Versión del IVDF:7.00.02.61 - lunes, 28 de enero de 2008

 General Métodos de propagación:
   • Unidades de red mapeadas
   • Peer to Peer


Alias:
   •  Mcafee: W32/Bindo.worm
   •  Kaspersky: P2P-Worm.Win32.Malas.h
   •  F-Secure: P2P-Worm.Win32.Malas.h
   •  Eset: Win32/Malas.D
   •  Bitdefender: Win32.Worm.P2P.Agent.AM


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %TEMPDIR%\svchost.exe
   • %PROGRAM FILES%\Common Files\Microsoft Shared\MSshare.exe
   • %HOME%\userinit.exe
   • %WINDIR%\Web\OfficeUpdate.exe
   • %disquetera%:\autoply.exe



Añade secciones a los siguientes ficheros:
– Para: %ALLUSERSPROFILE%\Start Menu\Programs\Accessories\Calculator.lnk Con el siguiente contenido:
   • %código que ejecuta malware%

– Para: %HOME%\Start Menu\Programs\Accessories\Notepad.lnk Con el siguiente contenido:
   • %código que ejecuta malware%

– Para: %HOME%\Start Menu\Programs\Accessories\Command Prompt.lnk Con el siguiente contenido:
   • %código que ejecuta malware%




Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %HOME%\Desktop\Important.htm
   • %HOME%\My Documents\Important.htm
   • %HOME%\Desktop\Iran_Israel.Jpg
   • %HOME%\My Documents\Iran_Israel.Jpg
   • %ALLUSERSPROFILE%\Documents\My Pictures\Sample Pictures\Iran_Israel.Jpg

%disquetera%:\Autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

– %ALLUSERSPROFILE%\Start Menu\Programs\Startup\Office Update.lnk
%WINDIR%\tasks\at1.job Tarea planificada que ejecuta el malware en tiempos predefinidos.
%WINDIR%\tasks\at2.job Tarea planificada que ejecuta el malware en tiempos predefinidos.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • SoundMax = %HOME%\userinit.exe



Elimina del registro de Windows los valores de las siguientes claves:

–  [HKCR\lnkfile]
   • IsShortCut

–  [HKCR\piffile]
   • IsShortCut

–  [HKCR\InternetShortcut]
   • IsShortCut



Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • Hidden = %configuración definida por el usuario%
   • HideFileExt = %configuración definida por el usuario%
   • ShowSuperHidden = %configuración definida por el usuario%
   Nuevo valor:
   • Hidden = 2
   • HideFileExt = 2
   • ShowSuperHidden = 2

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • Nofolderoptions = 1

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:


Busca los siguientes directorios:
   • %PROGRAM FILES%\Kazaa Lite\My Shared Folder\
   • %PROGRAM FILES%\Kazaa\My Shared Folder\
   • %PROGRAM FILES%\Edonkey2000\Incoming\
   • %PROGRAM FILES%\Icq\Shared Files\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\Gnucleus\Downloads\Incoming\
   • %PROGRAM FILES%\KMD\My Shared Folder\
   • %PROGRAM FILES%\Limewire\Shared\
   • %PROGRAM FILES%\XPCode\
   • C:\Inetpub\ftproot\

   Al tener éxito, crea los siguientes ficheros:
   • Sex_ScreenSaver.scr
   • Sex_Game.exe
   • SexGame.exe
   • SexScreenSaver.scr
   • SexGameList.pif
   • Games.lnk

   Estos ficheros son copias del programa malicioso.



La carpeta compartida puede verse así:


 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Andrei Gherman el lunes, 16 de junio de 2008
Descripción actualizada por Andrei Gherman el lunes, 16 de junio de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.