Muestra pedida para analizar: C:\windows\system32\msdnet.exe
De un cliente que nos envia el log del SProces, vemos la siguiente clave, que lanza una posible variante de worm SPO@SMB
O4 - HKUS\S-1-5-21-1890339290-2329089191-844769918-1115\..\Run: C:\Windows\System32\msdnet.exe
Nombre completo del virus: Worm.W32/Spoo@SMB
Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95
Mecanismo principal de difusión: SMB Se difunde por carpetas compartidas de red de Microsoft. Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
Tamaño (bytes): 493.056 Alias: WORM_SPOO.A
Propagación Capacidad de autopropagación: Sí
Se propaga de las siguientes maneras:
Carpetas Compartidas de Red de Microsoft
Se difunde por carpetas compartidas de red de Microsoft.
Cuando Worm.W32/Spoo@SMB es ejecutado, muestra un mensaje de error para intentar hacer creer al usuario que no se ejecutó correctamente.
Seguidamente deja una copia de sí mismo con el nombre W32SPOOL.EXE o SYSTREDIT.EXE en el directorio del sistema de Windows.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: SecurityLog = "%System%\{ - nombre de fichero del gusano - }"
Nota: %System% es una variable que hace referencia al directorio de sistema de Windows.
Por defecto es C:\Windows\System (Windows 98/Me), C:\WINNT\System32 (Windows 2000/NT) o C:\Windows\System32 (Windows XP/Server 2003).
A continuación deja en el equipo los siguientes ficheros no maliciosos como parte de su proceso de instalación:
msdnet.ini
vbadin.ini
Propagación por la Red
Worm.W32/Spoo@SMB se propaga a través de unidades compartidas en red.
Busca todas las unidades compartidas disponibles y deja copias de sí mismo en dichas unidades utilizando algun de los siguientes nombres de fichero:
Bon_de_commande.exe
Company_Information.exe
Concours_International.exe
Current_Tenders.exe
Direction_du_service_national.exe
Guide_Mondial.exe
Help_SDK.exe
New_opportunities.exe
Elimina los siguientes ficheros ubicados en el directorio de 'Inicio', en caso de que existan:
msnbc.exe
setdlh.exe
Está compilado con Borland Delphi .
Funciona en equipos con Windows 98/ Me/ NT/ 2000/ XP/ Server 2003.
http://cert.inteco.es/virusDetail/Actua ... Virus/Spoo Fuente
Tan pronto como recibamos la muestra solicitada, pasaremos a controlarlo a partir de la siguiente version del ElistarA, de lo cual informaremos
saludos
ms, 5-6-2013
De un cliente que nos envia el log del SProces, vemos la siguiente clave, que lanza una posible variante de worm SPO@SMB
O4 - HKUS\S-1-5-21-1890339290-2329089191-844769918-1115\..\Run: C:\Windows\System32\msdnet.exe
Nombre completo del virus: Worm.W32/Spoo@SMB
Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.
Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95
Mecanismo principal de difusión: SMB Se difunde por carpetas compartidas de red de Microsoft. Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.
Tamaño (bytes): 493.056 Alias: WORM_SPOO.A
Propagación Capacidad de autopropagación: Sí
Se propaga de las siguientes maneras:
Carpetas Compartidas de Red de Microsoft
Se difunde por carpetas compartidas de red de Microsoft.
Cuando Worm.W32/Spoo@SMB es ejecutado, muestra un mensaje de error para intentar hacer creer al usuario que no se ejecutó correctamente.
Seguidamente deja una copia de sí mismo con el nombre W32SPOOL.EXE o SYSTREDIT.EXE en el directorio del sistema de Windows.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: SecurityLog = "%System%\{ - nombre de fichero del gusano - }"
Nota: %System% es una variable que hace referencia al directorio de sistema de Windows.
Por defecto es C:\Windows\System (Windows 98/Me), C:\WINNT\System32 (Windows 2000/NT) o C:\Windows\System32 (Windows XP/Server 2003).
A continuación deja en el equipo los siguientes ficheros no maliciosos como parte de su proceso de instalación:
msdnet.ini
vbadin.ini
Propagación por la Red
Worm.W32/Spoo@SMB se propaga a través de unidades compartidas en red.
Busca todas las unidades compartidas disponibles y deja copias de sí mismo en dichas unidades utilizando algun de los siguientes nombres de fichero:
Bon_de_commande.exe
Company_Information.exe
Concours_International.exe
Current_Tenders.exe
Direction_du_service_national.exe
Guide_Mondial.exe
Help_SDK.exe
New_opportunities.exe
Elimina los siguientes ficheros ubicados en el directorio de 'Inicio', en caso de que existan:
msnbc.exe
setdlh.exe
Está compilado con Borland Delphi .
Funciona en equipos con Windows 98/ Me/ NT/ 2000/ XP/ Server 2003.
http://cert.inteco.es/virusDetail/Actua ... Virus/Spoo Fuente
Tan pronto como recibamos la muestra solicitada, pasaremos a controlarlo a partir de la siguiente version del ElistarA, de lo cual informaremos
saludos
ms, 5-6-2013