• Domingo 18 de Abril de 2021, 12:45

Autor Tema:  Sality  (Leído 1167 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Sality
« en: Lunes 20 de Abril de 2009, 18:43 »
0
Información extraida de Alerta Antivirus

Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:20-04-2009
Última Actualización:20-04-2009
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Sality.AM@US    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraíbles).
Tamaño (bytes): 69632
Alias:W32.Sality.AM (Symantec), W32.Sality.AM (PerAntivirus)
Detalles

Método de Infección

Al infectar el sistema, el gusano se copia a:

    * %System%drivers[Nombre_aleatorio].sys

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).

El archivo .SYS es ejecutado como un servicio con el siguiente nombre e inmediatamente despues es borrado:

    * abp470n5

El servicio recién iniciado actúa como un filtro en el servicio IPFILTERDRIVER (Firewall de Windows Vista) y monitoriza la red en busca de paquetes con cualquiera de las siguientes cadenas:

    * upload_virus
    * sality-remov
    * virusinfo.
    * cureit.
    * drweb.
    * onlinescan.
    * spywareinfo.
    * ewido.
    * virusscan.
    * windowsecurity.
    * spywareguide.
    * bitdefender.
    * pandasoftware.
    * agnmitum.
    * virustotal.
    * sophos.
    * trendmicro.
    * etrust.com
    * symantec.
    * mcafee.
    * f-secure.
    * eset.com
    * kaspersky
    * aPvo

Luego crea las siguientes entradas de registro:

Clave:HKEY_CURRENT_USERSoftware[Caracteres_aleatorios]

Valor:"V[Número]_[3_números_aleatorios]" = [Valor _aleatorio]

Clave:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet Settings

Valor:"GlobalUserOffline" = "0"

Clave:HKEY_LOCAL_MACHINESOFTWAREMicrosoftTracingFWCFG

Valor:"ConsoleTracingMask" = "4294901760"

Valor:"EnableConsoleTracing" = "0"

Valor:"EnableFileTracing" = "0"

Valor:"FileDirectory" = "%Windir%tracing"

Valor:"FileTracingMask" = "4294901760"

Valor:"MaxFileSize" = "1048576"

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:Windows (Windows 95/98/Me/XP) o C:Winnt (Windows NT/2000).

Para cambiar las configuraciones de seguridad del sistema altera las entradas en las llaves:

Clave:HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity CenterSvc

Valor:"FirewallDisableNotify" = "1"

Valor:"FirewallOverride" = "1"

Valor:"UacDisableNotify" = "1"

Clave:HKEY_LOCAL_MACHINESOFTWAREMicrosoftSecurity Center

Valor:"UacDisableNotify" = "1"

Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile

Valor:"DoNotAllowExceptions" = "0"

Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile
AuthorizedApplicationsList

Valor:"%SystemDrive%[Nombre_original_de_archivo].exe" = "%SystemDrive%[Nombre_original_de_archivo].exe:*:Enabled:ipsec"

Nota: %SystemDrive% es una variable que hace referencia a la unidad en la que Windows está instalado.
Por defecto es C:.

Clave:HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSharedAccessParametersFirewallPolicyStandardProfile
AuthorizedApplicationsList

Valor:"%Windir%Explorer.EXE" = "%Windir%Explorer.EXE:*:Enabled:ipsec"

Borra las entradas de registro en las subclaves:

Clave:HKEY_CURRENT_USERSystemCurrentControlSetControlSafeBoot



Clave:HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionExtStats

Clave:HKEY_LOCAL_MACHINE\SoftwareMicrosoftWindowsCurrentVersionExtStats

Clave:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

Clave:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

Seguidamente busca las siguientes subclaves e infecta todos los archivos vinculados:

Clave:HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache

Clave:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

Clave:HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun


Efectos

El gusano detiene los servicios que tengan alguna de las siguientes cadenas:

    * aswMon2
    * Agnitum Client Security Service
    * ALG
    * Amon monitor
    * aswUpdSv
    * aswRdr
    * aswSP
    * aswTdi
    * aswFsBlk
    * acssrv
    * AV Engine
    * avast! iAVS4 Control Service
    * avast! Antivirus
    * avast! Mail Scanner
    * avast! Web Scanner
    * avast! Asynchronous Virus Monitor
    * avast! Self Protection
    * AVG E-mail Scanner
    * Avira AntiVir Premium Guard
    * Avira AntiVir Premium WebGuard
    * Avira AntiVir Premium MailGuard
    * avp1
    * BackWeb Plug-in - 4476822
    * bdss
    * BGLiveSvc
    * BlackICE
    * CAISafe
    * ccEvtMgr
    * ccProxy
    * ccSetMgr
    * COMODO Firewall Pro Sandbox Driver
    * cmdGuard
    * cmdAgent
    * Eset Service
    * Eset HTTP Server
    * Eset Personal Firewall
    * F-Prot Antivirus Update Monitor
    * fsbwsys
    * FSDFWD
    * F-Secure Gatekeeper Handler Starter
    * FSMA
    * Google Online Services
    * InoRPC
    * InoRT
    * InoTask
    * ISSVC
    * KPF4
    * KLIF
    * LavasoftFirewall
    * LIVESRV
    * McAfeeFramework
    * McShield
    * McTaskManager
    * navapsvc
    * NOD32krn
    * NPFMntor
    * NSCService
    * Outpost Firewall main module
    * OutpostFirewall
    * PAVFIRES
    * PAVFNSVR
    * PavProt
    * PavPrSrv
    * PAVSRV
    * PcCtlCom
    * PersonalFirewal
    * PREVSRV
    * ProtoPort Firewall service
    * PSIMSVC
    * RapApp
    * SmcService
    * SNDSrvc
    * SPBBCSvc
    * SpIDer FS Monitor for Windows NT
    * SpIDer Guard File System Monitor
    * SPIDERNT
    * Symantec Core LC
    * Symantec Password Validation
    * Symantec AntiVirus Definition Watcher
    * SavRoam
    * Symantec AntiVirus
    * Tmntsrv
    * TmPfw
    * tmproxy
    * tcpsr
    * UmxAgent
    * UmxCfg
    * UmxLU
    * UmxPol
    * vsmon
    * VSSERV
    * WebrootDesktopFirewallDataService
    * WebrootFirewall
    * XCOMM
    * AVP

Y detiene los procesos con las siguientes cadenas:

    * _AVPM.
    * A2GUARD.
    * AAVSHIELD.
    * AVAST
    * ADVCHK.
    * AHNSD.
    * AIRDEFENSE
    * ALERTSVC
    * ALOGSERV
    * ALSVC.
    * AMON.
    * ANTI-TROJAN.
    * AVZ.
    * ANTIVIR
    * APVXDWIN.
    * ARMOR2NET.
    * ASHAVAST.
    * ASHDISP.
    * ASHENHCD.
    * ASHMAISV.
    * ASHPOPWZ.
    * ASHSERV.
    * ASHSIMPL.
    * ASHSKPCK.
    * ASHWEBSV.
    * ASWUPDSV.
    * ATCON.
    * ATUPDATER.
    * ATWATCH.
    * AVCIMAN.
    * AVCONSOL.
    * AVENGINE.
    * AVESVC.
    * AVGAMSVR.
    * AVGCC.
    * AVGCC32.
    * AVGCTRL.
    * AVGEMC.
    * AVGFWSRV.
    * AVGNT.
    * AVGNTDD
    * AVGNTMGR
    * AVGSERV.
    * AVGUARD.
    * AVGUPSVC.
    * AVINITNT.
    * AVKSERV.
    * AVKSERVICE.
    * AVKWCTL.
    * AVP.
    * AVP32.
    * AVPCC.
    * AVPM.
    * AVAST
    * AVSERVER.
    * AVSCHED32.
    * AVSYNMGR.
    * AVWUPD32.
    * AVWUPSRV.
    * AVXMONITOR9X.
    * AVXMONITORNT.
    * AVXQUAR.
    * BDMCON.
    * BDNEWS.
    * BDSUBMIT.
    * BDSWITCH.
    * BLACKD.
    * BLACKICE.
    * CAFIX.
    * CCAPP.
    * CCEVTMGR.
    * CCPROXY.
    * CCSETMGR.
    * CFIAUDIT.
    * CLAMTRAY.
    * CLAMWIN.
    * CLAW95.
    * CUREIT
    * DEFWATCH.
    * DRVIRUS.
    * DRWADINS.
    * DRWEB32W.
    * DRWEBSCD.
    * DRWEBUPW.
    * DWEBLLIO
    * DWEBIO
    * ESCANH95.
    * ESCANHNT.
    * EWIDOCTRL.
    * EZANTIVIRUSREGISTRATIONCHECK.
    * F-AGNT95.
    * FAMEH32.
    * FILEMON
    * FIRESVC.
    * FIRETRAY.
    * FIREWALL.
    * FPAVUPDM.
    * F-PROT95.
    * FRESHCLAM.
    * EKRN.
    * FSAV32.
    * FSAVGUI.
    * FSBWSYS.
    * F-SCHED.
    * FSDFWD.
    * FSGK32.
    * FSGK32ST.
    * FSGUIEXE.
    * FSMA32.
    * FSMB32.
    * FSPEX.
    * FSSM32.
    * F-STOPW.
    * GCASDTSERV.
    * GCASSERV.
    * GIANTANTISPYWAREMAIN.
    * GIANTANTISPYWAREUPDATER.
    * GUARDGUI.
    * GUARDNT.
    * HREGMON.
    * HRRES.
    * HSOCKPE.
    * HUPDATE.
    * IAMAPP.
    * IAMSERV.
    * ICLOAD95.
    * ICLOADNT.
    * ICMON.
    * ICSSUPPNT.
    * ICSUPP95.
    * ICSUPPNT.
    * IFACE.
    * INETUPD.
    * INOCIT.
    * INORPC.
    * INORT.
    * INOTASK.
    * INOUPTNG.
    * IOMON98.
    * ISAFE.
    * ISATRAY.
    * ISRV95.
    * ISSVC.
    * KAV.
    * KAVMM.
    * KAVPF.
    * KAVPFW.
    * KAVSTART.
    * KAVSVC.
    * KAVSVCUI.
    * KMAILMON.
    * KPFWSVC.
    * MCAGENT.
    * MCMNHDLR.
    * MCREGWIZ.
    * MCUPDATE.
    * MCVSSHLD.
    * MINILOG.
    * MYAGTSVC.
    * MYAGTTRY.
    * NAVAPSVC.
    * NAVAPW32.
    * NAVLU32.
    * NAVW32.
    * NEOWATCHLOG.
    * NEOWATCHTRAY.
    * NISSERV
    * NISUM.
    * NMAIN.
    * NOD32
    * NORMIST.
    * NOTSTART.
    * NPAVTRAY.
    * NPFMNTOR.
    * NPFMSG.
    * NPROTECT.
    * NSCHED32.
    * NSMDTR.
    * NSSSERV.
    * NSSTRAY.
    * NTRTSCAN.
    * NTOS.
    * NTXCONFIG.
    * NUPGRADE.
    * NVCOD.
    * NVCTE.
    * NVCUT.
    * NWSERVICE.
    * OFCPFWSVC.
    * OUTPOST
    * OP_MON.
    * PAVFIRES.
    * PAVFNSVR.
    * PAVKRE.
    * PAVPROT.
    * PAVPROXY.
    * PAVPRSRV.
    * PAVSRV51.
    * PAVSS.
    * PCCGUIDE.
    * PCCIOMON.
    * PCCNTMON.
    * PCCPFW.
    * PCCTLCOM.
    * PCTAV.
    * PERSFW.
    * PERTSK.
    * PERVAC.
    * PNMSRV.
    * POP3TRAP.
    * POPROXY.
    * PREVSRV.
    * PSIMSVC.
    * QHM32.
    * QHONLINE.
    * QHONSVC.
    * QHPF.
    * QHWSCSVC.
    * RAVMON.
    * RAVTIMER.
    * AVGNT
    * AVCENTER.
    * RFWMAIN.
    * RTVSCAN.
    * RTVSCN95.
    * RULAUNCH.
    * SALITY
    * SAVADMINSERVICE.
    * SAVMAIN.
    * SAVPROGRESS.
    * SAVSCAN.
    * SCANNINGPROCESS.
    * CUREIT
    * SDHELP.
    * SHSTAT.
    * SITECLI.
    * SPBBCSVC.
    * SPHINX.
    * SPIDERCPL.
    * SPIDERML.
    * SPIDERNT.
    * SPIDERUI.
    * SPYBOTSD.
    * SPYXX.
    * SS3EDIT.
    * STOPSIGNAV.
    * SWAGENT.
    * SWDOCTOR.
    * SWNETSUP.
    * SYMLCSVC.
    * SYMPROXYSVC.
    * SYMSPORT.
    * SYMWSC.
    * SYNMGR.
    * TAUMON.
    * TBMON.
    * AVAST
    * TFAK.
    * THAV.
    * THSM.
    * TMAS.
    * TMLISTEN.
    * TMNTSRV.
    * TMPFW.
    * TMPROXY.
    * TNBUTIL.
    * TRJSCAN.
    * UP2DATE.
    * VBA32ECM.
    * VBA32IFS.
    * VBA32LDR.
    * VBA32PP3.
    * VBSNTW.
    * VCHK.
    * VCRMON.
    * VETTRAY.
    * VIRUSKEEPER.
    * VPTRAY.
    * VRFWSVC.
    * VRMONNT.
    * VRMONSVC.
    * VRRW32.
    * VSECOMR.
    * VSHWIN32.
    * VSMON.
    * VSSERV.
    * VSSTAT.
    * WATCHDOG.
    * WEBPROXY.
    * WEBSCANX.
    * WEBTRAP.
    * WGFE95.
    * WINAW32.
    * WINROUTE.
    * WINSS.
    * WINSSNOTIFY.
    * WRCTRL.
    * XCOMMSVR.
    * ZAUINST
    * ZLCLIENT
    * ZONEALARM

El gusano también termina determinados procesos que cargan los siguientes módulos en memoria:

    * DWEBLLIO
    * DWEBIO

... y borra los archivos que tengas las cadenas:

    * VDB
    * AVC
    * KEY

Finalmente, para poder descargar instrucciones o malwares en los sistemas infectados el gusano verifica los siguientes dominios:

    * http://www.hotelkalingaindore.com/logo[XXXXX] --> ubicado en la India
    * http://www.lasercareindia.com/main[XXXXXX] --> ubicado en la India

Estos sitios han sido comprometidos y el autor o autores de este gusano les han insertado archivos arbitrarios.

Método de Propagación

El gusano enumera los recursos de la red local (LAN) usando el API WNetOpenEnumA. En caso de hallarlos busca los archivos ejecutables y los infecta.

Verifica las unidades de almacenamiento removibles y les copia un archivo infectado notepad.exe o winmime.exe con uno de los siguientes nombres:

    * [Nombre_aleatorio].exe
    * [Nombre_aleatorio].cmd
    * [Nombre_aleatorio].pif

Crea un archivo autorun.inf para ejecutar el gusano cada vez que se inserte una unidad de almacenamiento extraíble en otro equipo.

El gusano evita infectar archivos que contengan las siguientes cadenas:

    * _AVPM.
    * A2GUARD.
    * AAVSHIELD.
    * AVAST
    * ADVCHK.
    * AHNSD.
    * AIRDEFENSE
    * ALERTSVC
    * ALOGSERV
    * ALSVC.
    * AMON.
    * ANTI-TROJAN.
    * AVZ.
    * ANTIVIR
    * APVXDWIN.
    * ARMOR2NET.
    * ASHAVAST.
    * ASHDISP.
    * ASHENHCD.
    * ASHMAISV.
    * ASHPOPWZ.
    * ASHSERV.
    * ASHSIMPL.
    * ASHSKPCK.
    * ASHWEBSV.
    * ASWUPDSV.
    * ATCON.
    * ATUPDATER.
    * ATWATCH.
    * AVCIMAN.
    * AVCONSOL.
    * AVENGINE.
    * AVESVC.
    * AVGAMSVR.
    * AVGCC.
    * AVGCC32.
    * AVGCTRL.
    * AVGEMC.
    * AVGFWSRV.
    * AVGNT.
    * AVGNTDD
    * AVGNTMGR
    * AVGSERV.
    * AVGUARD.
    * AVGUPSVC.
    * AVINITNT.
    * AVKSERV.
    * AVKSERVICE.
    * AVKWCTL.
    * AVP.
    * AVP32.
    * AVPCC.
    * AVPM.
    * AVAST
    * AVSERVER.
    * AVSCHED32.
    * AVSYNMGR.
    * AVWUPD32.
    * AVWUPSRV.
    * AVXMONITOR9X.
    * AVXMONITORNT.
    * AVXQUAR.
    * BDMCON.
    * BDNEWS.
    * BDSUBMIT.
    * BDSWITCH.
    * BLACKD.
    * BLACKICE.
    * CAFIX.
    * CCAPP.
    * CCEVTMGR.
    * CCPROXY.
    * CCSETMGR.
    * CFIAUDIT.
    * CLAMTRAY.
    * CLAMWIN.
    * CLAW95.
    * CUREIT
    * DEFWATCH.
    * DRVIRUS.
    * DRWADINS.
    * DRWEB32W.
    * DRWEBSCD.
    * DRWEBUPW.
    * DWEBLLIO
    * DWEBIO
    * ESCANH95.
    * ESCANHNT.
    * EWIDOCTRL.
    * EZANTIVIRUSREGISTRATIONCHECK.
    * F-AGNT95.
    * FAMEH32.
    * FILEMON
    * FIRESVC.
    * FIRETRAY.
    * FIREWALL.
    * FPAVUPDM.
    * F-PROT95.
    * FRESHCLAM.
    * EKRN.
    * FSAV32.
    * FSAVGUI.
    * FSBWSYS.
    * F-SCHED.
    * FSDFWD.
    * FSGK32.
    * FSGK32ST.
    * FSGUIEXE.
    * FSMA32.
    * FSMB32.
    * FSPEX.
    * FSSM32.
    * F-STOPW.
    * GCASDTSERV.
    * GCASSERV.
    * GIANTANTISPYWAREMAIN.
    * GIANTANTISPYWAREUPDATER.
    * GUARDGUI.
    * GUARDNT.
    * HREGMON.
    * HRRES.
    * HSOCKPE.
    * HUPDATE.
    * IAMAPP.
    * IAMSERV.
    * ICLOAD95.
    * ICLOADNT.
    * ICMON.
    * ICSSUPPNT.
    * ICSUPP95.
    * ICSUPPNT.
    * IFACE.
    * INETUPD.
    * INOCIT.
    * INORPC.
    * INORT.
    * INOTASK.
    * INOUPTNG.
    * IOMON98.
    * ISAFE.
    * ISATRAY.
    * ISRV95.
    * ISSVC.
    * KAV.
    * KAVMM.
    * KAVPF.
    * KAVPFW.
    * KAVSTART.
    * KAVSVC.
    * KAVSVCUI.
    * KMAILMON.
    * KPFWSVC.
    * MCAGENT.
    * MCMNHDLR.
    * MCREGWIZ.
    * MCUPDATE.
    * MCVSSHLD.
    * MINILOG.
    * MYAGTSVC.
    * MYAGTTRY.
    * NAVAPSVC.
    * NAVAPW32.
    * NAVLU32.
    * NAVW32.
    * NEOWATCHLOG.
    * NEOWATCHTRAY.
    * NISSERV
    * NISUM.
    * NMAIN.
    * NOD32
    * NORMIST.
    * NOTSTART.
    * NPAVTRAY.
    * NPFMNTOR.
    * NPFMSG.
    * NPROTECT.
    * NSCHED32.
    * NSMDTR.
    * NSSSERV.
    * NSSTRAY.
    * NTRTSCAN.
    * NTOS.
    * NTXCONFIG.
    * NUPGRADE.
    * NVCOD.
    * NVCTE.
    * NVCUT.
    * NWSERVICE.
    * OFCPFWSVC.
    * OUTPOST
    * OP_MON.
    * PAVFIRES.
    * PAVFNSVR.
    * PAVKRE.
    * PAVPROT.
    * PAVPROXY.
    * PAVPRSRV.
    * PAVSRV51.
    * PAVSS.
    * PCCGUIDE.
    * PCCIOMON.
    * PCCNTMON.
    * PCCPFW.
    * PCCTLCOM.
    * PCTAV.
    * PERSFW.
    * PERTSK.
    * PERVAC.
    * PNMSRV.
    * POP3TRAP.
    * POPROXY.
    * PREVSRV.
    * PSIMSVC.
    * QHM32.
    * QHONLINE.
    * QHONSVC.
    * QHPF.
    * QHWSCSVC.
    * RAVMON.
    * RAVTIMER.
    * AVGNT
    * AVCENTER.
    * RFWMAIN.
    * RTVSCAN.
    * RTVSCN95.
    * RULAUNCH.
    * SALITY
    * SAVADMINSERVICE.
    * SAVMAIN.
    * SAVPROGRESS.
    * SAVSCAN.
    * SCANNINGPROCESS.
    * CUREIT
    * SDHELP.
    * SHSTAT.
    * SITECLI.
    * SPBBCSVC.
    * SPHINX.
    * SPIDERCPL.
    * SPIDERML.
    * SPIDERNT.
    * SPIDERUI.
    * SPYBOTSD.
    * SPYXX.
    * SS3EDIT.
    * STOPSIGNAV.
    * SWAGENT.
    * SWDOCTOR.
    * SWNETSUP.
    * SYMLCSVC.
    * SYMPROXYSVC.
    * SYMSPORT.
    * SYMWSC.
    * SYNMGR.
    * TAUMON.
    * TBMON.
    * AVAST
    * TFAK.
    * THAV.
    * THSM.
    * TMAS.
    * TMLISTEN.
    * TMNTSRV.
    * TMPFW.
    * TMPROXY.
    * TNBUTIL.
    * TRJSCAN.
    * UP2DATE.
    * VBA32ECM.
    * VBA32IFS.
    * VBA32LDR.
    * VBA32PP3.
    * VBSNTW.
    * VCHK.
    * VCRMON.
    * VETTRAY.
    * VIRUSKEEPER.
    * VPTRAY.
    * VRFWSVC.
    * VRMONNT.
    * VRMONSVC.
    * VRRW32.
    * VSECOMR.
    * VSHWIN32.
    * VSMON.
    * VSSERV.
    * VSSTAT.
    * WATCHDOG.
    * WEBPROXY.
    * WEBSCANX.
    * WEBTRAP.
    * WGFE95.
    * WINAW32.
    * WINROUTE.
    * WINSS.
    * WINSSNOTIFY.
    * WRCTRL.
    * XCOMMSVR.
    * ZAUINST
    * ZLCLIENT
    * ZONEALARM

Y agrega la siguiente entrada al archivo %Windir%system.ini:

[MCIDRV_VER]

Otros Detalles

El gusano infecta Windows 98/Me/NT/2000/XP/Vista y Server 2003 desarrollado en ensamblador con una extensión de 69,632 bytes y esta cifrado con rutinas propias.
El pasado son solo recuerdos, el futuro son solo sueños