::    Identificarse  o  Registrarse    ::                                          ::    Numero de miembros: 225.154    ::    Registrados ayer: 144    ::    On-line: 224  ::
Trucos para Windows
Indice    Foros     Descargas    Elinks    Noticias    Procesos    SiteMap

PROCESO DE INICIO DE WINDOWS: NDAv

Nombre del comando: svhost.exe

Estado: MALWARE/VIRUS        malware


Descripcion: W32/Sumom-C es un gusano que se extiende a través de programas de mensajería instantánea y redes de intercambio de archivos.

Al ejecutarse por primera vez, el gusano se copia en la carpeta del sistema de Windows con los nombres CSNSS.EXE y MCSV.COM, y en la carpeta de Windows con el nombre SVHOST.EXE y crea las entradas "SDAv" o "NDAv" en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit C:\WINDOWS\System32\userinit.exe,
<gusano>

W32/Sumom-C se copia con los siguientes nombres en el directorio raíz y se intenta enviar a los contactos en Microsoft Windows Messenger:

Best_Friend.scr
Bungee-Fuck.pif
Death of crazy frog!.pif
Hot babe!.pif
I_love_you.123greetings.com.com
Me at the Beach!.pif
My piccy.pif
Paris Hilton Sex Tape.pif
Really Cute.pif
Saddam Song!.pif
Shoot Bill Gates!.exe
lol Busted Are Gay!.pif

W32/Sumom-C también se copia en carpetas compartidas en redes de intercambio de archivos, como:

My Shared Folder
Program Files\eMule\Incoming
Documents and Settings\<usuario>\Shared

utilizando los siguientes nombres:

MSN Avatar Display Pack 1.0.exe
MSN Messenger 7 patch!.exe

W32/Sumom-C también modifica las siguientes entradas del registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoFolderOptions
1

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableConfig
1

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableSR
1

W32/Sumom-C intentará terminar diferentes procesos relacionados con productos antivirus y de seguridad, como REGEDIT.EXE, TASKMGR.EXE o MSCONFIG.EXE.

El gusano también copia el archivo no vírico l0ser.Html en el directorio raíz, además de modificar el archivo HOSTS para evitar el acceso a diferentes sitios Web de empresas antivirus:

212.58.240.33 www.symantec.com
212.58.240.33 www.sophos.com
212.58.240.33 www.mcafee.com
212.58.240.33 www.viruslist.com
212.58.240.33 www.f-secure.com
212.58.240.33 www.avp.com
212.58.240.33 www.kaspersky.com
212.58.240.33 www.networkassociates.com
212.58.240.33 www.ca.com
212.58.240.33 www.my-etrust.com
212.58.240.33 www.nai.com
212.58.240.33 www.trendmicro.com
212.58.240.33 www.grisoft.com
212.58.240.33 securityresponse.symantec.com
212.58.240.33 symantec.com
212.58.240.33 sophos.com
212.58.240.33 mcafee.com
212.58.240.33 liveupdate.symantecliveupdate.com
212.58.240.33 viruslist.com
212.58.240.33 f-secure.com
212.58.240.33 kaspersky.com
212.58.240.33 kaspersky-labs.com
212.58.240.33 avp.com
212.58.240.33 networkassociates.com
212.58.240.33 ca.com
212.58.240.33 mast.mcafee.com
212.58.240.33 my-etrust.com
212.58.240.33 download.mcafee.com
212.58.240.33 dispatch.mcafee.com
212.58.240.33 secure.nai.com
212.58.240.33 nai.com
212.58.240.33 update.symantec.com
212.58.240.33 updates.symantec.com
212.58.240.33 us.mcafee.com
212.58.240.33 liveupdate.symantec.com
212.58.240.33 customer.symantec.com
212.58.240.33 rads.mcafee.com
212.58.240.33 trendmicro.com
212.58.240.33 grisoft.com
212.58.240.33 sandbox.norman.no
212.58.240.33 www.pandasoftware.com
212.58.240.33 uk.trendmicro-europe.com

W32/Sumom-C también intentará eliminar gusanos de la familia W32/Assiral, y ciertos días del mes mostrará el mensaje contenido en el archivo "LARISSA you muppet.txt":

'Hello LARISSA, are you out there? You fucking n00b!!!!!!!!
LARISSA you're my bitch! I own your ass you fucking loser!

'-S-K-Y-'-D-E-V-I-L-'

Greets,

N+E+T+D+E+V+I+L'





[ pagina generada en: 0.0236 segundos]   [ Queries: 8 ]  [ Server load: 0.38 ]  [ Server up: 368 días ]  [ Contactanos ]  [ Politica ]

TWs-SEO v1.0