• Domingo 22 de Diciembre de 2024, 23:48

Autor Tema:  Worm.w32/bropia  (Leído 1171 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Worm.w32/bropia
« en: Viernes 21 de Enero de 2005, 16:36 »
0
Aqui les dejo su funcionamiento;
Bloquea el acceso a los siguientes programas para evitar que puedan ser ejecutados por el usuario infectado:

    * %System%\taskmgr.exe
    * %System%\cmd.exe

      Nota: %System% es una variable que representa la carpeta del sistema de Windows. Por defecto será: C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Intenta localizar en la máquina infectada, alguno de los siguientes ficheros:

    * adaware.exe
    * VB6.EXE
    * lexplore.exe
    * Win32.exe

      Si no encuentra ninguno de ellos, descarga el fichero C:\osm.exe y lo ejecuta. Este fichero contiene un código modificado del gusano Spybot.
      La ejecución del fichero descargado creará una copia de sí mismo como %System%\lexplore.exe, para a continuación eliminar el fichero descargado inicialmente.

Añade el siguiente valor a las claves de registro indicadas para facilitar su propia ejecución junto al inicio de Windos:

"lexplore" = "lexplore.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\OLE

Se copia a sí mismo en C:\ y en %System% con alguno de los siguientes nombres:

    * Drunk_lol.pif
    * Webcam_004.pif
    * sexy_bedroom.pif
    * naked_party.pif
    * love_me.pif

Intenta enviarse a sí mismo a través de MSN Messenger.
El pasado son solo recuerdos, el futuro son solo sueños