ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

P2P-Worm.Win32.Scranor

Clase P2P-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este gusano se propaga a través de las redes de intercambio de archivos Kazaa e iMesh, y también a través de IRC.

El gusano en sí es un archivo EXE de Windows PE, de aproximadamente 12 KB de tamaño.

Instalación

Una vez lanzado, el gusano crea una carpeta llamada "Sys32i" en el directorio Archivos de programa, y ​​se copia a este archivo como "Scran.exe".

Este archivo está registrado en el registro del sistema como una clave para habilitar la ejecución automática:

 [HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
  W32.Scran =% ProgramDir% sys32iScran.exe 

Esto asegura que el gusano se lanzará cada vez que se reinicie el sistema.

El gusano crea varias copias más de sí mismo bajo los siguientes nombres:

 Age of Empires crack.exe 
Age of Empires.exe
CD Key.exe 
Counter Strike 6.exe
Counter Strike.exe
Grand Theft Auto 3 CD2 ISO.exe
Half-Life.exe
Cuenta de Hotmail cracker.exe
Hotmail Hack.exe
KeyGen.exe
Microsoft Office.exe
Norton Anti Virus 2004.exe
Norton Anti Virus 2005.exe
Norton Anti Virus Crack.exe
Norton Firewall.exe 
Norton Internet Security 2004.exe
Partition Magic 8.exe
Playstation 2.exe
Residente Evil.exe
Scran.cpl
Tomb Raider.exe
Trojan Remover.exe
Windows XP Home.exe
Yahoo Hack.exe
ZoneAlarm Firewall Pro.exe 

Esta carpeta se mostrará en el registro del sistema como Contenido local para Kazaa e iMesh:

 [HKCUSoftwareKazaaLocalContent]
[HKCUSoftwareKazaaTransfer]
  "dir0" = "012345:% ProgramDir% sys32i"
[HKCUSoftwareiMeshClientLocalContent]
  "dir0" = "012345:% ProgramDir% sys32i" 

Estos archivos estarán accesibles para otros usuarios de las redes P2P.

El gusano crea un identificador "W32.Scran-Worm" para marcar su presencia en el sistema.

Propagación a través de IRC

El gusano busca en la máquina de la víctima un cliente de IRC. Si detecta uno, cambiará el contenido del archivo "script.ini" para que el gusano se pase a todos los usuarios que ingresen los canales IRC utilizados por la máquina infectada.

Otro

El gusano descargará un archivo llamado "botnet.jpg" de http://www.freewebs.com. Este archivo se guardará en el directorio C: raíz como "botnet.exe". Este archivo contiene la última versión de Backdoor.Win32.Rbot.gen.

El 1 de enero, el gusano generará un cuadro de diálogo con el siguiente texto en la pantalla:

 ¿Decir ah?
Feliz año nuevo W32.Scran !! 

Enlace al original