Nombre:Worm/Waledac.48640
Descubierto:18/03/2009
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:48.640 Bytes
Suma de control MD5:f9117bf6469b48d8240F4f09aa5adca5
Versión del IVDF:7.01.02.184 - miércoles 18 de marzo de 2009

 General Alias:
   •  Mcafee: W32/Waledac.gen.e
   •  Sophos: Mal/WaledPak-A
   •  Panda: W32/Iksmas.F.worm
   •  Eset: Win32/Waledac.HL
   •  Bitdefender: Trojan.Waledac.DB


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\1042m.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

– Un fichero temporal, que puede ser eliminado después:
   • %SYSDIR%\1962655114.dat




Intenta descargar un fichero:

– Las direcciones son las siguientes:
   • http://ShopVideoSchools.cn/v3/**********
   • http://ShopFilmWorld.cn/v3/**********
   • http://MartPictureExistence.cn/v3/**********
   • http://ShopPictureLife.cn/v3/**********
   • http://ShopPigLiving.cn/v3/**********
   • http://ShopVideoFest.cn/v3/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccessdmadmin]
   • "ImagePath"="%SYSDIR%\1042m.exe srv"
   • "DisplayName"="Routing and Remote Access RemoteAccessdmadmin"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x2
   • "ErrorControl"=dword:0x0
   • "Type"=dword:0x110

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el jueves 15 de octubre de 2009

Volver . . . .