ASTEF: gusano de alta propagación masiva vÃa redes Peer to Peer e ICQ
Agosto 31, 03 by adminAstef es un nocivo gusano de alta propagación masiva a través de las Redes con recursos compartidos Peer to Peer KaZaA, KaZaA Lite, Bearshare, eDonkey2000, Gnucleus, Grokster, Limewire, Morpheus, Overnet, Papigator, Shareaza, Tesla, WinMX, XoloX y el ICQ.
Al infectar un sistema renombra varios programas e importantes archivos del sistema operativo, luego se auto-copia con el nombre original de los archivos renombrados.
Deshabilita además dos opciones en el sistema operativo e impide visualizar archivos ocultos y del sistema.
[ . . . ]
Al ejecutar el archivo infectado, el gusano renombra los siguientes archivos:
%Windir%\calc.exe a %System%\calc.com
%Windir%\notepad.exe a %System%\notepad.com
%Windir%\sol.exe a %System%\sol.com
%Windir%\freecell.exe a %System%\freecell.com
C:\Archivos de programas\Trillian\trillian.exe a C:\Archivos de programas\Trillian\trillian.com
C:\Archivos de programas\MSN Messenger\msnmsgr.exe a C:\Archivos de programas\MSN Messenger\msnmsgr.com
C:\Archivos de programas\ICQ\icq.exe a C:\Archivos de programas\ICQ\icq.com
Luego, se auto-copia a los siguientes directorios con los nombres:
%Windir%\calc.exe
%Windir%\notepad.exe
%Windir%\sol.exe
%Windir%\freecell.exe
%Windir%\ocx32.exe
%Windir%\svchost.exe
%Windir%\windll32.exe
%Windir%\windows_critical_update.exe
%Windir%\windowsupdate.exe
C:\Archivos de programas\Trillian\trillian.exe
C:\Archivos de programas\MSN Messenger\msnmsgr.exe
C:\Archivos de programas\ICQ\icq.exe
Para activarse la próxima vez que se inicie el sistema, el gusano crea ciertas claves en el registro.
También se autocopia a diversos directorios para infectar a través de redes P2P, con distintos nombres de fichero.
Los payloads de este gusano son:
- Se propaga masivamente a través de la mayorÃa de redes de archivos compartidos Peer to Peer.
- También lo hace vÃa el ICQ.
- Renombra e infecta varios archivos ejecutables del sistema.
- Deshabilita dos opciones en el sistema operativo e impide visualizar archivos ocultos y del sistema.
Más información: http://www.perantivirus.com/sosvirus/virufamo/astef.htm
