Sophos

W32/Assiral-A

Categoría
Tipo
Qué hacer
Prevalencia baja alta

Resumen

 
Propagación
  • Adjuntos de email
  • Unidades compartidas de red
Sistemas operativos vulnerables Windows
Características
  • Se instala en el registro
Protección disponible desde 18 de febrero de 2005 14:57:18 (GMT)
Detectado por Todos los productos de Sophos

Acción

Vea la información para eliminar gusanos.

Más información

W32/Assiral-A es un gusano de email que llega adjunto en un mensaje con las siguientes características:

Asunto: Re: LOV YA!

Mensaje: Kindly read and reply to my LOVE LETTER in the attachments :-)

Archivo adjunto: LOVE_LETTER.TXT.exe

W32/Assiral-A intentará además copiarse en unidades externas y unidades de red.

Al ejecutarse por primera vez, W32/Assiral-A abrirá Internet Explorer en la Web geocities.com y la establecerá como página de inicio.

El gusano intentará terminar diferentes procesos relacionados con productos antivirus y de seguridad.W32/Assiral-A es un gusano de email que llega adjunto en un mensaje con las siguientes características:

Asunto: Re: LOV YA!

Mensaje: Kindly read and reply to my LOVE LETTER in the attachments :-)

Archivo adjunto: LOVE_LETTER.TXT.exe

W32/Assiral-A intentará además copiarse en unidades externas y unidades de red.

Al ejecutarse por primera vez, W32/Assiral-A abrirá Internet Explorer en la Web geocities.com y la establecerá como página de inicio.

El gusano intentará terminar diferentes procesos relacionados con productos antivirus y de seguridad.

W32/Assiral-A crea los siguientes archivos:

C:\message.txt %Windows%\SpoolMgr.exe %Windows%\love_letter.txt.exe %System32%\MS_LARISSA.exe C:\windows\winvbs_32.vbs C:\windows\system32\reg_32.vbs C:\larissa_anti_bropia.html

Y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ MS_LARISSA = %system32%\MS_LARISSA.exe

HKLM\software\microsoft\windows\currentversion\run spoolsv manager = %windows%\SpoolMgr.exe

Además de modificar las siguientes entradas:

HKCR\software\microsoft\windows\currentversion\policies\system\ noadminpage = 1

HKCR\software\microsoft\windows\currentversion\policies\explorer\ dword:03ffffff

HKCR\software\microsoft\windows\currentversion\policies\system\ disableregistrytools = 1

HKCR\software\microsoft\windows\currentversion\policies\explorer\ norun = 1

HKCR\software\microsoft\windows\currentversion\policies\winoldapp\ disabled = 1

HKCU\Software\Microsoft\WAB\ Contacts = <número de entradas en la libreta de direcciones>

W32/Assiral-A podría ocasionalmente abrir el archivo C:\larissa_anti_bropia.html.

RSS|Atom
Recibir informes sobre las amenazas de virus y programas espía más recientes