Virus Messenger: el cortafuegos está dañado por el gusano Yahlover
El gusano Yahlover.DH se propaga a través de recursos compartidos de red y busca desactivar el firewall en las computadoras.
A Yahlover.DH El gusano se propaga principalmente a través de unidades de red o recursos compartidos. El gusano realiza muchos cambios en el registro. Por ejemplo, crea o modifica nuevas entradas y elimina claves. Entre otras cosas, puede evitar que el Explorador de Windows muestre todos los archivos que usa para ocultar en el Explorador de Windows. También realiza cambios para eludir el firewall integrado de Windows.
Yahlover.DH descarga e instala malware adicional en los equipos infectados a través de Internet.
Cuando se inicia el gusano Yahlover.DH, realiza las siguientes acciones:
- Cree los siguientes archivos:
% Sistema% \ csrcs.exe
% Sistema% \ autorun.inf - Las siguientes entradas se agregan a la base de datos de registro:
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ políticas \ Explorer \ Run \
csrcs = "% System% \ csrcs.exe"
HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \
Shell = "Explorer.exe csrcs.exe"
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ fix = “”
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ exp1 = [caracteres aleatorios]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ dreg = [caracteres aleatorios]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ kiu = [caracteres aleatorios]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \ eggol = [caracteres aleatorios]
HKLM \ SOFTWARE \ Microsoft \ DRM \ amty \\\ egexp = [caracteres aleatorios] - Consulta la dirección IP de la computadora infectada.
- Está intentando infectar equipos adicionales a través de una red. Copia archivos con un nombre de archivo aleatorio a estos.
- Descarga programas maliciosos a través de Internet.
- Desactiva el firewall integrado de Windows:
HKLM \ SYSTEM \ CurrentControlSet \ Services \ SharedAccess \ Parameters \ FirewallPolicy \
StandardProfile \ AuthorizedApplications \ List \
[nombre de archivo de gusano] = [nombre de archivo de gusano]: *: Habilitado: Windows Life Messenger - Para deshabilitar cualquier software de seguridad NOD32 que pueda estar ejecutándose, modifique el registro:
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ media_network = dword: 00000000
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ exc = […]
HKLM \ SOFTWARE \ ESET \ Nod \ CurrentVersion \ Modules \ AMON \ Settings \
Config000 \ Settings \ exc_num = dword: 0000000c - Las siguientes entradas se eliminan de la base de datos de registro:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Políticas
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Ratings
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ system - Modifique los siguientes valores en el registro:
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Oculto = dword: 00000002
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
SuperHidden = dword: 00000000
HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
ShowSuperHidden = dword: 00000000
HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Advanced \
Carpeta \ Oculto \ SHOWALL \ CheckedValue = dword: 00000001
Esto oculta archivos en el Explorador de Windows que están ocultos y tienen atributos del sistema.
