Al ejecutarce crea el directorio "IXP000.TMP" dentro de la carpeta temporal de Windows.
Crea los siguientes archivos en dicha carpeta:
C:\Windows\Temp\IXP000.TMP\1-n.exe
C:\Windows\services.exe
C:\Windows\descktop.ini
C:\Windows\Up4.txt
Intenta detener el servicio ALG (ALG Application Layer Gateway Service) de Windows y
modifica el servicio de cortafuego y conexión compartida a Internet (SharedAccess Windows
Firewall/Internet Connection Sharing (ICS)).
Crea o modifica las siguientes entradas en el registro:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
HKCU\sRegPolicies+
HKCU\sRegPolicies+\Explorer
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce
wextract_cleanup0 = "rundll32.exe
C:\Windows\System32\advpack.dll,DelNodeRunDLL32
"C:\Windows\Temp\IXP000.TMP\""
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableTaskMgr = 0x00000001
Esta última clave previene que se pueda ejecutar el Administrador de tareas.
También intenta conectarse a los siguientes sitios:
01800mexico .info
www .mmcars .es
www .deklieuw .nl
www .wasserwacht-bayern .de
www .cuisineformation .ch
www .axelfoto .com
Intenta descargar estos archivos desde distintos sitios de Internet:
s6R9Ku.kkk
FC6xAP.kkk
ZsP1p9.kkk
YJcuC.kkk
S+foIu.kkk
kw2tdr.kkk
2/DWz+.kkk
xYALQz.kkk
zxLCu1.kkk
WLkONS.kkk
7MvbG2.kkk
SEJ9I+.exe.bak
Intenta deshabilitar los siguientes procesos y servicios:
_avp32.exe
_avpcc.exe
_avpm.exe
ackwin32.exe
alertsvc.exe
alogserv.exe
anti-trojan.exe
ants.exe
apvxdwin.exe
Armor2net.exe
atcon.exe
atupdater.exe
atwatch.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avconsol.exe
avengine.exe
avgcc32.exe
avgctrl.exe
avgnt.exe
avgserv.exe
avgserv9.exe
avguard.exe
avgw.exe
avkserv.exe
avkservice.exe
avp.exe
avp32.exe
avpcc.exe
avpm.exe
avpupd.exe
avsched32.exe
avsynmgr.exe
avwupd32.exe
avwupsrv.exe
avxmonitor9x.exe
avxmonitornt.exe
avxquar.exe
blackd.exe
blackice.exe
ccapp.exe
ccevtmgr.exe
ccproxy.exe
cfiaudit.exe
claw95.exe
claw95cf.exe
cleaner.exe
cleaner3.exe
cmgrdian.exe
cpd.exe
ctrl.exe
defwatch.exe
doors.exe
drweb32w.exe
drwebupw.exe
ent.exe
escanh95.exe
escanhnt.exe
exe.exe
f-agnt95.exe
fameh32.exe
fast.exe
fch32.exe
firewall.exe
f-prot95.exe
frw.exe
fsav32.exe
fsgk32.exe
fsm32.exe
fsma32.exe
fsmb32.exe
f-stopw.exe
guard.exe
iamapp.exe
iamserv.exe
icload95.exe
icloadnt.exe
icmon.exe
icssuppnt.exe
icsupp95.exe
icsuppnt.exe
iface.exe
iomon98.exe
ipfsrv.exe
isrv95.exe
jedi.exe
kavpf.exe
kpf4ss.exe
livesrv.exe
lockdown2000.exe
luall.exe
lucomserver.exe
mclogsrv.exe
mcmnhdlr.exe
mcpromgr.exe
mcshield.exe
mctskshd.exe
mcuimgr.exe
mcupdate.exe
mcupdmgr.exe
mcusrmgr.exe
mcvsshld.exe
minilog.exe
monitor.exe
moolive.exe
mpsevh.exe
nav.exe
navap.exe
navapsvc.exe
navapw32.exe
navlu32.exe
navw32.exe
ndd32.exe
neowatchlog.exe
nisserv.exe
nisum.exe
nmain.exe
nod32.exe
nod32krn.exe
normist.exe
notstart.exe
NPFSVICE.exe
nprotect.exe
nsched32.exe
nt.exe
ntrtscan.exe
ntxconfig.exe
nupgrade.exe
nvc95.exe
nwservice.exe
outpost.exe
pavfires.exe
PAVFNSVR.exe
pavproxy.exe
PAVSRV51.exe
pcciomon.exe
pccntmon.exe
persfw.exe
pop3trap.exe
poproxy.exe
ray.exe
realmon.exe
rescue.exe
rtvscan.exe
rtvscn95.exe
rulaunch.exe
safensec.exe
savscan.exe
sc.exe
scan32.exe
sd.exe
shstat.exe
smc.exe
sndsrvc.exe
sphinx.exe
spyxx.exe
ss3edit.exe
sspfwtry2.exe
start.exe
svc.exe
swnetsup.exe
system.exe
taumon.exe
tc.exe
tca.exe
tcm.exe
tds-3.exe
tfak.exe
trjscan.exe
update.exe
updaterui.exe
vsecomr.exe
vshwin32.exe
vsmon.exe
vsserv.exe
vsstat.exe
watchdog.exe
webscanx.exe
webtrap.exe
wgfe95.exe
wradmin.exe
xcommsvr.exe
zatutor.exe
zauinst.exe
zonealarm.exe
También intenta ejecutar messenger para sus propios propositos malignos. |
