NUEVA APARICION DE FICHERO DESCONOCIDO SOSPECHOSO MSDNET.EXE POSIBLE WORM SPOO@SMB

Muestra pedida para analizar: C:\windows\system32\msdnet.exe

De un cliente que nos envia el log del SPROCES, vemos la siguiente clave, que lanza una posible variante de worm SPO@SMB

O4 – HKUS\S-1-5-21-1890339290-2329089191-844769918-1115\..\Run: [msdnet] C:\Windows\System32\msdnet.exe
Nombre completo del virus: Worm.W32/Spoo@SMB

Tipo de código: Worm Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores.

Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 : XP Microsoft Windows XP / 2003 Microsoft Windows Server 2003 / 2000 Microsoft Windows 2000 / NT Microsoft Windows NT / Me Microsoft Windows Millennium / 98 Microsoft Windows 98 / 95 Microsoft Windows 95

Mecanismo principal de difusión: SMB Se difunde por carpetas compartidas de red de Microsoft. Capacidad de residencia permanente : No. No tiene capacidad para ejecutarse automáticamente en cada reinicio del sistema.

Tamaño (bytes): 493.056 Alias: WORM_SPOO.A

Propagación Capacidad de autopropagación: Sí

Se propaga de las siguientes maneras:

Carpetas Compartidas de Red de Microsoft
Se difunde por carpetas compartidas de red de Microsoft.

Cuando Worm.W32/Spoo@SMB es ejecutado, muestra un mensaje de error para intentar hacer creer al usuario que no se ejecutó correctamente.
Seguidamente deja una copia de sí mismo con el nombre W32SPOOL.EXE o SYSTREDIT.EXE en el directorio del sistema de Windows.

Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:

Clave:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Valor: SecurityLog = “%System%\{ – nombre de fichero del gusano – }”

Nota: %System% es una variable que hace referencia al directorio de sistema de Windows.

Por defecto es C:\Windows\System (Windows 98/Me), C:\WINNT\System32 (Windows 2000/NT) o C:\Windows\System32 (Windows XP/Server 2003).

A continuación deja en el equipo los siguientes ficheros no maliciosos como parte de su proceso de instalación:

msdnet.ini
vbadin.ini

Propagación por la Red
Worm.W32/Spoo@SMB se propaga a través de unidades compartidas en red.
Busca todas las unidades compartidas disponibles y deja copias de sí mismo en dichas unidades utilizando algun de los siguientes nombres de fichero:

Bon_de_commande.exe
Company_Information.exe
Concours_International.exe
Current_Tenders.exe
Direction_du_service_national.exe
Guide_Mondial.exe
Help_SDK.exe
New_opportunities.exe

Elimina los siguientes ficheros ubicados en el directorio de ‘Inicio’, en caso de que existan:

msnbc.exe
setdlh.exe

Está compilado con Borland Delphi .

Funciona en equipos con Windows 98/ Me/ NT/ 2000/ XP/ Server 2003.

http://cert.inteco.es/virusDetail/Actualidad/Actualidad_Virus/Detalle_Virus/Spoo Fuente
Tan pronto como recibamos la muestra solicitada, pasaremos a controlarlo a partir de la siguiente version del ELISTARA, de lo cual informaremos

saludos

ms, 5-6-2013