WORM_SILLY.XGH
Tipo de malware
Destructivo?
Cifrado
In the Wild:
Resumen y descripción
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Muestra ventanas de publicidad emergentes si ActiveX está activado.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %User Profile%\csrss.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = %User Profile%\csrss.exe
Propagación
Crea las carpetas siguientes en todas las unidades extraíbles:
- {drive letter}\MUSKO
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- {drive letter}\MUSKO\karikatura.exe
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Modifica el contenido de un archivo AUTORUN.INF existente para ejecutar automáticamente la copia infiltrada. Para ello, añade las cadenas siguientes al archivo .INF:
- [autorun
- {garbage characters}
- open=MUSKO///karikatura.exe
- {garbage characters}
- icon=%SystemRoot%\system32\SHELL32.dll,4
- {garbage characters}
- action=Open folder to view files using Windows Explorer
- {garbage characters}
- Shell\open\command=MUSKO///karikatura.exe
- {garbage characters}
- shell\open\command=MUSKO///karikatura.exe
- {garbage characters}
- USEAUTOPLAY=1
- {garbage characters}
Rutina de adware
Muestra ventanas de publicidad emergentes si ActiveX está activado.
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Elimine los archivos de malware que se han introducido/descargado mediante WORM_SILLY.XGH
Step 3
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
RESTORERellene nuestra encuesta!