Wow.SI - W32/Wow.SI.worm
| Nombre común: Wow.SI
Nombre técnico: W32/Wow.SI.worm
Peligrosidad: Media
Tipo: Gusano
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 25/01/2008
Detección actualizada: 30/01/2008
¿Está en circulación? Si
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Wow.SI es un gusano que está diseñado para capturar las contraseñas de juegos online como World of Warcraft o Lineage.
Además, reduce el nivel de seguridad del ordenador, ya que finaliza varios procesos relacionados con programas de seguridad, descarga una actualización de sí mismo y utiliza un rootkit para dificultar su detección.
Wow.SI se propaga realizando copias de sí mismo en el directorio raíz de las unidades del sistema.
Síntomas Visibles
Wow.SI es difícil de reconocer a simple vista, ya que no muestra mensajes a avisos que alerten sobre su presencia.
Efectos
Wow.SI realiza las siguientes acciones:
• Cuando es ejecutado, abre una ventana que muestra el directorio C: del Explorador de Windows.
• Reduce el nivel de seguridad del ordenador, ya que realiza las siguientes acciones:
- Busca ventanas con alguno de los siguientes nombres:
AVP.AlertDialog
AVP.Product_Notification
Y si es así, las cierra. Estas ventanas corresponden a cierto programa antivirus.
-Finaliza varios procesos pertenecientes a herramientas de seguridad.
• Está diseñado para capturar las contraseñas de juegos online como World of Warcraft o Lineage.
• Descarga una actualización de sí mismo desde cierta página web.
• Utiliza un rootkit para ocultarse en el sistema y así dificultar su detección.
Metodo de Infección
Wow.SI crea los siguientes archivos en el directorio de sistema de Windows:
• AVMO.EXE y AVPO.EXE. Estos archivos son copias del gusano.
• AVPO0.DLL, que se encarga de descargar un archivo que corresponde a una actualización del gusano.
Crea estos tres archivos con atributos de oculto y de archivo del sistema para dificultar su detección.
• WINCAB.SYS, que corresponde al rootkit que utiliza para ocultarse y dificultar su presencia.
Wow.SI crea las siguientes entradas en el Registro de Windows:
• HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
"" = %sysdir%avpo.exe
donde %sysdir% es el directorio de sistema de Windows.
• HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Run
"" = %sysdir%amvo.exe
Mediante estas entradas, Wow.SI consigue ejecutarse cada vez que Windows se inicia.
• HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced
"" = 00000002
• HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Explorer Advanced
"" = 00000000
• HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Explorer Advanced Folder Hidden SHOWALL
"" = 00000000
• HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies Explorer
"" = 00000091
Mediante estas entradas, Wow.SI modifica las propiedades de las Opciones de carpeta del Explorador de Windows.
• HKEY_LOCAL_MACHINE SOFTWARE Classes CLSID MADOWN
"" = maver8m9
Además, crea las entradas necesarias en el Registro de Windows para registrar al rootkit como varios servicios denominados XSWEDFTG y ZXSDERFBUKJFYSHLHFRST y así conseguir ejecutarse cada vez que Windows se inicia:
• HKEY_LOCAL_MACHINE Registry Machine System CurrentControlSet Services xswedftg
• HKEY_LOCAL_MACHINE Registry Machine System CurrentControlSet Services zxsderfbukjfyshlhdfrst
Método de Propagación
Wow.SI se propaga copiándose en el directorio raíz de todas las unidades del sistema disponibles. Además, crea un archivo AUTORUN.INF en todas las unidades para conseguir ejecutarse cada evz que se acceda a alguna de estas unidades.
Otros Detalles
Wow.SI tiene un tamaño de 89088 Bytes.
|
|
Enviado con fecha: 26-02-2008 20:35:18 - Visto: 3905 veces.
Información extraida de la Web de Panda Antivirus.
Foro Virus
|
|
