|
VSantivirus No. 2025 Año 10, martes 24 de enero de 2006
Tivso.gen. Descarga de Internet al gusano Mocalo
http://www.vsantivirus.com/tivso-gen.htm
Nombre: Tivso.gen
Nombre NOD32: JS/Tivso.gen
Tipo: Caballo de Troya
Alias: Tivso.gen, JS/Feeb, JS/Feebs.gen.c@MM, JS/Tivso.gen, Win32.HLLM.Graz, Worm.Win32.Feebs.gen, Worm/Feebs
Fecha: 23/ene/06
Plataforma: Windows 32-bit
Tamaño: 3,138 bytes
Se trata de un caballo de Troya en JavaScript, del tipo downloader (descargador de archivos), embebido en un archivo HTML con extensión HTA.
Se envía como adjunto en forma de spam masivo, o es propagado por el Win32/Mocalo, vía correo electrónico.
El código en JavaScript descarga de Internet el componente principal de otras variantes del gusano. También puede encontrarse como página HTML en ciertos sitios maliciosos.
El archivo descargado de Internet, es almacenado con alguno de los siguientes nombres:
c:\command.exe
c:\recycled\userinit.exe
NOTA: No confundir con C:\COMMAND.COM
Este componente, intentará eliminar las siguientes entradas del registro:
HKLM\SYSTEM\CurrentControlSet\Services\FirePM
HKLM\SYSTEM\CurrentControlSet\Services\KmxFile
HKLM\SYSTEM\CurrentControlSet\Services\pcipim
HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC
HKLM\SYSTEM\CurrentControlSet\Services\RapDrv
Puede crear además, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft
\Active Setup\Installed Components
\{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}
Stubpath = "[nombre del ejecutable]"
Más información e instrucciones de limpieza:
Mocalo. Utiliza e-mail y P2P, deshabilita firewall
http://www.vsantivirus.com/mocalo.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|