| |
VSantivirus No. 1138 Año 7, Martes 19 de agosto de 2003
W32/Lovsan.D (Blaster). Utiliza "mspatch.exe"
http://www.vsantivirus.com/lovsan-d.htm
Nombre: W32/Lovsan.D (Blaster)
Tipo: Gusano de Internet
Alias: WORM_MSBLAST.E, W32/Lovsan.worm.d, Worm.Win32.Lovesan, W32/Msblast.D, W32/Blaster-D,
W32/Lovsan.worm.d, Win32.Poza.D, Win32/Lovsan.D, MSBlast, Exploit-DcomRpc (variant), W32.Blaster.Worm
Fecha: 18/ago/03
Plataforma: Windows 2000, XP
Reportado por: varios
Tamaño: 11,776 Bytes (ASPack)
Esta variante es idéntica a la versión A, salvo en los siguientes puntos:
1. El nombre del ejecutable:
mspatch.exe
2. La entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runon
"Nonton Antivirus " = mspatch.exe This is a patch to fixedRPC Problem! Y
El código aparentemente solo fue editado encima de las cadenas de textos anteriores, y contiene
una clave errónea de autoejecución, que no funciona (Runon). El resto de sus funciones igual lo hacen, pero no
se vuelve a ejecutar después de reiniciar el sistema.
3. Está comprimido con la herramienta ASPack.
4. Contiene el siguiente texto en su código:
This is a patch to fixedRPC Problem!
Your computer has been Protected by me.
Your have not need update your Windows XP..
5. Utiliza un mutex (semáforo indicador), llamado BILLY.
Los demás detalles del gusano son idénticos a la versión A, y se dan en el siguiente enlace (incluidas las instrucciones para eliminarlo manualmente):
Más información:
W32/Lovsan.A (Blaster). Utiliza la falla en RPC
http://www.vsantivirus.com/lovsan-a.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
