W32/Sndog.A. Utiliza asuntos y textos en españolNombre: W32/Sndog.A
Tipo: Gusano de Internet
Alias: Sndog, W32.Sndog@mm
Plataforma: Windows 32-bit
Gusano escrito en Visual Basic que se propaga a través del correo electrónico y de redes P2P.
Utiliza el Outlook y Outlook Express para enviarse a todos los contactos de la libreta de direcciones de Windows.
Los mensajes enviados tienen estas características:
Asunto: [uno de los siguientes]
- Aviso Importante
- Fw: ana_patricia @ hotmail .com
- Fw: Antagonistas
- Fw: Big brother Vip 3
- Fw: Como saber si tienes un admirador secreto
- Fw: El mono mario
- Fw: Huevo cartoon
- Fw: La academia
- Fw: la felicidad
- Fw: nuevo programa para bajar musica
- Fw: que tanto quieres a tu amigo
- Fw: Romeo y Julieta
- Fw: Snoopy
- Fw: Test de tenga a tu novio (a)?
- Fw: tips para tirar choros a las chavas
- Te adoro
El texto del mensaje es variable. Se encuentra en español, y se relaciona con los asuntos anteriores.
Datos adjuntos: [uno de los siguientes]
ave.zip
broma.zip
corsa.zip
doors.zip
huevohussein.zip
huevomaniaco.zip
liame.vbs
pkzip.zip
program.zip
proyecto.zip
setup1.zip
snoopy.zip
unzip.zip
El archivo .ZIP contiene otro con el mismo nombre y la extensión .EXE
Cuando se ejecuta, crea el siguiente archivo con atributos de oculto (+H):
c:\windows\csrss.exe
Crea también las siguientes copias de si mismo con los siguientes nombres, en la carpeta TEMP de Windows:
\TEMP\ave.exe
\TEMP\broma.exe
\TEMP\corsa.exe
\TEMP\doors.exe
\TEMP\huevohussein.exe
\TEMP\huevomaniaco.exe
\TEMP\liame.vbs
\TEMP\pkzip.exe
\TEMP\program.exe
\TEMP\proyecto.exe
\TEMP\setup1.exe
\TEMP\unzip.exe
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
Intenta copiarse en cualquier disquete en la unidad A:, que tenga deshabilitada la protección correspondiente:
a:\ac&dc.exe
a:\archivos.exe
a:\files.exe
a:\media.exe
a:\mono mario.exe
a:\presentacion.exe
a:\source.exe
Busca luego archivos .ZIP en todo el disco duro de la máquina infectada, y si los encuentra, y está instalada en el sistema la utilidad WinZIP, el gusano agrega en el ZIP existente, uno de los siguientes:
ac&dc.exe
archivos.exe
files.exe
media.exe
mono mario.exe
presentacion.exe
source.exe
El gusano examina el sistema en busca de los siguientes productos P2P:
BearShare
EDonkey
Edonkey2000
Grokster
iMesh
kazaa
morpheus
P2P Edonkey
Por cada uno de los servicios encontrados, intenta copiarse en la carpeta compartida por defecto de dicho programa, con los siguientes nombres:
crack de winzip 9.exe
crack musicmatch jukebox 9.exe
delphi all versions keygen.exe
emurayden xp.exe
half life keygenerator.exe
half life opossing force crack.exe
hlkeygenerator.exe
kazaa lite.exe
kazaa lite ++.exe
kazaa lite 2_3_5.exe
kazaa lite 3_1_0.exe
keygenerator.exe
keygenerator office xp.exe
mcafee antivirus scan crack.exe
mcafee scan keygen.exe
messenger plus.exe
msn plus.exe
msn poligammy for 6.x.exe
musicmatch 9.x crack.exe
nav keygenerator.exe
neoragex parche para kof2003.exe
norton antivirus 2004 keygen.exe
office xp crack.exe
opossing crack.exe
panda antivirus titanium keygenrator for all versions.exe
pat keygen.exe
poligammy for msn 6.x.exe
setup.exe
visual basic keygenerator.exe
windows xp home serial number.exe
windows xp profesional serial number.exe
winxp home keygenerator.exe
winxp profesional serials.exe
Crea la siguiente entrada en el registro para ejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Shockwave = c:\windows\csrss.exe
Cambia la página de inicio del Internet Explorer por la página de un sitio en español.
Finalmente el gusano se envía a todos los contactos de la libreta de direcciones, en mensajes como los descritos antes.
Más información:
http://www.vsantivirus.com/sndog-a.htmW32/Evaman.E. Se propaga por correo electrónicoNombre: W32/Evaman.E
Tipo: Gusano de Internet
Alias: Evaman.E, Win32/Evaman.E, Win32/Evaman.D, Win32.Evaman.D@mm, Win32/Evaman.E.Worm, W32/Evaman.e@MM, I-Worm.Mydoom.w, W32/MyDoom-Y, MyDoom.AC, W32/Mydoom.AC@mm, WORM_EVAMAN.C
Plataforma: Windows 2000 y XP
Tamaño: 23,040 bytes (UPX)
Gusano de envío masivo por correo electrónico, que se propaga por direcciones de correo obtenidas de la máquina infectada. Fue reportado el 20 de setiembre de 2004 y algunos fabricantes de antivirus lo detectan como una variante del Mydoom.
Escrito en Visual C++ está comprimido con la herramienta UPX.
Llega en un adjunto en mensajes como los siguientes:
De: [nombre]+[dominio]
Donde [nombre] puede ser uno de los siguientes:
alex
andrew
anna
barbara
brent
claudia
debby
eric
fred
jack
james
jennifer
john
julie
kevin
linda
maria
mary
matt
pamela
robert
susan
Y [dominio] es el mismo del destinatario o uno de los siguientes:
@ aol .com
@ excite .com
@ hotmail .com
@ mail .com
@ msn .com
@ yahoo .com
Asunto: [uno de los siguientes]
- Album
- photos_alb
- You've got a Virtual Postcard!
Texto del mensaje: [uno de los siguientes]
Mensaje 1:
my pics...*sexy*. Heheh! ;)
Mensaje 2:
You have just received a new postcard from Flashecard.com!
From: [remitente falso]
To pick up your postcard follow this web address
http:/ /www .flashecard .com .viewcard .main .ecard .php?2342
or click the attached link.
We hope you enjoy your postcard, and if you do, please
take a moment to send a few yourself!
(Your message will be available for 30 days.)
Please visit our site for more information.
http:/ /www .flashecard .com
Datos adjuntos: [nombre]+[extensión]
Donde [nombre] es una de las siguientes cadenas:
photo_album
www .flashecard .com?postcard=viewcard?download
Y [extensión] es una de las siguientes:
.scr
.html.scr
También puede incluir adjuntos con extensión .ZIP conteniendo un archivo con el mismo nombre.
Crea las siguientes entradas en el registro, las últimas para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\SYSHOST
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MS Updates = c:\windows\system\syshost.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
MS Updates = c:\windows\system\syshost.exe
El ejecutable del gusano se copia en la carpeta del sistema de Windows:
c:\windows\system\syshost.exe
Para propagarse, utiliza su propio motor SMTP.
Para obtener direcciones de correo, el gusano busca direcciones en la libreta de direcciones, y en archivos con las siguientes extensiones de la carpeta de archivos temporales de Internet, y en todas las carpetas de las unidades C a la Z inclusive:
.adb
.asp
.dbx
.eml
.htm
.html
.msg
.php
.pl
.sht
.tbb
.txt
.wab
Finalmente se envía a todas las direcciones obtenidas, utilizando una dirección falsa en el campo "De:". Los mensajes enviados poseen las características ya descriptas.
Evita enviarse a direcciones de correo que contengan alguna de las siguientes cadenas en sus nombres:
.gov
.gov
.mil
@avp
@domai
@foo
@iana
@messagelab
abuse
acketst
ahoo
ample
anda
arin.
ating@
berkeley
borlan
bsd
buse@
cafee
ccoun
cert
ebmaster@
ecur
ertific
ervice
feste
fido
fsf.
gnu
help
hotmail
ibm
icrosof
info
irus
isc.o isi.e
istser
kasp
kernel
linux
math
mit.e
msn
mydom
npris
ntivi
ontact@
oogle
opho
ostmaster@
page
pdate
pgp
rfc-ed
ripe
rivacy
root@
ruslis
sale
senet
soft
SPAM
Spam
spam
spm
syma
tanford.e
ubmit@
ugs@
unix
upport
utgers.ed
winrar
winzip
xample
you
El gusano crea el siguiente mutex para no ejecutarse más de una vez en memoria:
holla_back_b*tches
Intenta finalizar cualquier proceso activo cuyo nombre contenga alguna de las siguientes cadenas:
AV
Av
av
can
cc
ecu
fr
IEFrame
ire
iru
KV
MC
Mc
mc
msconfig
nti
regedit
scn
task
El gusano ejecuta un hilo separado que examina la presencia de dichos procesos una vez en cada segundo.
Si se ejecuta después del primero de diciembre de 2004, puede causar el cierre y reinicio de Windows, forzando la terminación de cualquier aplicación activa.
Esto es realizado antes de que se ejecute su rutina de propagación por correo electrónico, por lo que el gusano no se propagará después de esa fecha. Sin embargo, al ejecutarse cada vez que Windows se reinicia, el sistema no dejará de reiniciarse en un bucle sin fin hasta que se borre el gusano desde el modo a prueba de errores.
Más información:
http://www.vsantivirus.com/evaman-d.htmIRC/SdBot.WG. Se copia como "ntlogin32.exe"Nombre: IRC/SdBot.WG
Tipo: Gusano de Internet Caballo de Troya de acceso remoto
Alias: SdBot.WG, WORM_SDBOT.WG, W32/Gaobot.AQP.worm, IRC/BackDoor.SdBot, Backdoor.SdBot.gen, Backdoor.SDBot.Gen, Win32.IRC.Bot.based, IRC-Sdbot, Backdoor.Sdbot, BKDR_SDBOT.GEN, Backdoor:IRC/SdBot, W32/Sdbot-Fam
Plataforma: Windows 32-bit
Tamaño: 170,240 bytes
Gusano que se propaga por recursos compartidos de redes, y que puede actuar como un troyano de acceso remoto controlado vía IRC, con capacidad de tomar el control del equipo infectado.
Cuando se ejecuta se copia en la carpeta del sistema de Windows con el siguiente nombre:
c:\windows\system\ntlogin32.exe
Crea las siguientes entradas en el registro para ejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Windows NT Login = "ntlogin32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Windows NT Login = "ntlogin32.exe"
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Windows NT Login = "ntlogin32.exe"
El gusano intenta continuamente infectar máquinas remotas, generando direcciones IP al azar para conectarse a través del puerto 445. Utiliza una extensa lista de usuarios y contraseñas predefinidas en su código.
Si la conexión es exitosa, busca los recursos ADMIN$, C$, D$, IPC$ Y PRINT$. Si los encuentra, entonces inicia su rutina de infección, intentando copiarse en dicho equipo:
c$\ntlogin32.exe
c$\winnt\system32\ntlogin32.exe
Admin$\system32\ntlogin32.exe
Posee un componente de acceso por puerta trasera (backdoor), que intenta conectarse a servidores de IRC y unirse a un canal predeterminado. Actúa como un IRC Bot, esperando las instrucciones en dicho canal. Un BOT es la copia de un usuario en un canal de IRC, preparado para responder y ejecutar ciertos comandos en forma automática.
Algunas acciones posibles:
Realizar ataques de denegación de servicio (UDP, ICMP y SYN flooding)
Matar procesos e hilos de ejecución
Descargar y ejecutar archivos
Auto actualizarse
Más información:
http://www.vsantivirus.com/irc-sdbot-wg.htmRbot.KZ Rbot.KZ es un gusano de redes y un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.
Se difunde aprovechando vulnerabilidades de Windows como la de LSASS y DCOM y copiándose en unidades de red con contraseñas no seguras.
Nombre completo: Worm-Backdoor.W32/Rbot.KZ@LSASS
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [LSASS] - Gusano que se difundiende aprovechando la vulnerabilidad de LSASS (MS04-011) que afecta a Windows 2000 y XP.
Alias:W32/Rbot-KZ (Sophos)
El gusano se copia en la carpeta del sistema de Windows con el nombre con el nombre Win32x.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Sygate Personal Firewall = Win32x.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
Sygate Personal Firewall = Win32x.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Sygate Personal Firewall = Win32x.exe
W32/Rbot-KZ también podría modificar las siguientes entradas:
HKLM\Software\Microsoft\Ole\EnableDCOM = N
HKLM\System\CurrentControlSet\Control\Lsa\
restrictanonymous = 1
Rbot.KZ se extiende a través de unidades compartidas de red con contraseñas no seguras y aprovechando diferentes vulnerabilidades de Windows, como RPC DCOM (MS04-012), WebDav (MS03-007) y LSASS (MS04-011).
Rbot.KZ también puede descargar y ejecutar archivos, registrar las pulsaciones del teclado, obtener claves de registro
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4294Pesin.I Gusano que se propaga realizando copias de sí mismo con el nombre SEXXX.exe, en la unidad A:\ (normalmente la disquetera).
Al ejecutarse, se replica en diferentes ubicaciones del sistema y hace mnodificaciones en el registro de Windows.
Podría eliminar el contenido del directorio C:\Archivos de programa.
Nombre completo: Worm.W32/Pesin.I@FLOPPY
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [FLOPPY] - Se propaga mediante copias en los disquetes de la unidad A:.
Alias:Win32/Pesin.I (Enciclopedia Virus (Ontinent)), W32/Pesin-D (Sophos), W32/Pesin.worm.gen (Otros), Win32.HLLW.Rolog.e (Otros)
Cuando Worm.W32/Pesin.I@FLOPPY es ejecutado, realiza las siguientes acciones:
Crea las siguientes copias de sí mismo, en la ubicación indicada:
C:\Windows\System\SvHost.exe
C:\Mis Documentos\Ini Virus.exe
C:\Archivos de Programa\Accesorios\Clean.exe
Renombra los siguientes archivos ('original' -> 'modificado'):
msconfig.exe -> quend.exe
regedit.exe -> blink.exe
explorer.exe -> bimm.exe
Seguidamente, crea copias de sí mismo con los siguientes nombres:
msconfig.exe
regedit.exe
explorer.exe
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a la siguiente clave del registro de Windows:
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Valores: Load Service = C:\WINDOWS\System32\SvHost.exe /run
Performance = C:\Windows\MyHeart.exe /run
Agrega los valores indicados a las siguientes claves del registro de Windows:
Clave: HKLM\SOFTWARE\Microsoft\MediaPlayer
Valor: Count
Clave: HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_CDFS\0000\Control
Valor: ActiveService = Cdfs
Clave: HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CDFS\0000\Control
Valor: ActiveService = Cdfs
También modifica las siguientes entradas:
Clave: HKCU\Software\Microsoft\Internet Explorer\Main
Valor: Start Page =
www.jn01.cjb.netClave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Valor: Hidden = dword:00000000
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Valor: HideFileExt = dword:00000001
Clave: HKCR\exefile
Valor: (Predeterminado) = Microsoft Word Document
Clave: HKCR\exefile\shell\open
Valor: (Predeterminado) = &Open
Agrega el siguiente texto dentro del archivo C:\msdos.sys
BootWarn=0
BootKeys=0
También crea el archivo C:\~Temp.doc.
El gusano puede borrar todos los archivos del directorio C:\Archivos de programa.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4292Sndog Gusano que se propaga por correo a todas las direcciones incluidas en la libreta de contactos de Windows.
Además, se replica en los directorios compartidos de varias aplicaciones P2P, por lo que también es posible infectarse a través de las redes de intercambio de ficheros.
Nombre completo: Worm.W32/Sndog@P2P+MM
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico
Alias:W32.Sndog@mm (Symantec)
Cuando Worm.W32/Sndog@P2P+MM es ejecutado, realiza las siguientes acciones:
Se copia a sí mismo como un fichero oculto con el nombre %windir%\csrss.exe.
Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows. Por defecto es C:\Windows o C:\Winnt.
Crea las siguientes copias de sí mismo en el directorio temporal (%temp%):
Ave.exe
Broma.exe
Corsa.exe
Doors.exe
HuevoHussein.exe
Huevomaniaco.exe
liame.vbs
Pkzip.exe
Program.exe
Proyecto.exe
Setup1.exe
Unzip.exe
Nota: %Temp% es una variable que hace referencia al directorio temporal de Windows. Por defecto es C:\Windows\TEMP (Windows 95/98/Me/XP) o C:\WINNT\Temp (Windows NT/2000).
Crea las siguientes copias de sí mismo en la unidad A:\:
ac&dc.exe
archivos.exe
Files.exe
media.exe
mono mario.exe
presentacion.exe
source.exe
Busca ficheros comprimidos zip en el disco duro del sistema.
En caso de que Winzip este instalado, el gusano añade cualquiera de los ficheros .exe anteriores a los ficheros zip encontrados.
Busca los siguientes servicios de intercambio de ficheros:
EDonkey
P2P Edonkey
kazaa
morpheus
iMesh
BearShare
Grokster
Edonkey2000
Si alguno de esos servicios se encuentra instalado, el gusano se replica en el directorio compartido de esa aplicación, con alguno de los siguientes nombres:
Crack de winzip 9
Neoragex parche para Kof2003
Windows Xp Home serial number
WinXp Home KeyGenerator
Windows Xp Profesional serial number
WinXp Profesional Serials
Office Xp crack
Keygenerator Office Xp
Emurayden Xp
Setup
Half life Keygenerator
HLKeygenerator
Half life opossing force crack
Opossing crack
Visual Basic keygenerator
Keygenerator
Delphi all versions keygen
Norton Antivirus 2004 keygen
NAV Keygenerator
Panda Antivirus Titanium Keygenrator for all versions
PAT Keygen
Mcafee Antivirus Scan Crack
McAfee Scan keygen
MSN Poligammy for 6.x
Poligammy for MSN 6.x
Messenger Plus
MSN Plus
Kazaa lite 2_3_5
Kazaa lite
Kazaa lite 3_1_0
Kazaa lite ++
Musicmatch 9.x crack
Crack MusicMatch Jukebox 9
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: "Shockwave" = "%windir%\csrss.exe"
Cambia la página inicial de Internet Explorer, a una página local donde se describe en español a un 'pobre perro'.
Se envía a sí mismo por correo electrónico, a todas las direcciones encontradas en la libreta de contactos de Windows.
El mensaje tiene las siguientes características:
Asunto: alguno de los siguientes:
Fw: Romeo y Julieta
Fw: Huevo cartoon
Fw: El mono mario
Fw: la felicidad
Fw: La academia
Fw: Big brother Vip 3
Te adoro
Fw: que tanto quieres a tu amigo
Fw: Test de tenga a tu novio (a)?
Fw: tips para tirar choros a las chavas
Fw: Como saber si tienes un admirador secreto
Aviso Importante
Fw: Snoopy
Fw:
[email protected] Fw: nuevo programa para bajar musica
Fw: Antagonistas
Cuerpo del mensaje: El texto, en español, depende del 'Asunto'.
Fichero Anexo: Selecciona aleatoriamente uno de los nombres de los ficheros creados, y genera un fichero zip con ese mismo nombre.
También podría utilizar el nombre Snoopy.zip para nombrar al anexo.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4291Apribot Gusano con capacidad de puerta trasera mediante canales de IRC. Obtiene direcciones de correo electrónico que envía a un usuario remoto.
Nombre completo: Worm-Backdoor.W32/Apribot@SMB
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft
Alias:Win32/Apribot.A (Enciclopedia Virus (Ontinent))
Cuando el gusano se ejecuta la puerta trasera se carga como un servicio y espera comandos remotos. Un atacante externo puede realizar las siguientes acciones:
Ejecutar un servidor proxy.
Ejecutar un servidor FTP.
Ejecutar un servidor SMTP.
Manipular archivos.
Escanear puertos.
Realizar un ataque de denegación de servicios.
Abrir una consola remota.
Capturar la salida del teclado.
El gusano crea una copia de si mismo dentro de las carpeta de sistema de Windows. Genera un nombre utilizando alguna de las siguientes cadenas:
cfg
chk
conf
disk
dll
drv
dsk
ini
init
load
mon
reg
scan
serv
srv
stat
sys
vxd
win
Para ejecutarse en cada inicio del sistema crea las siguientes entradas en el registro de Windows:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run\
[Nombre del proceso] = [Nombre de archivo] -services
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices\
[Nombre del proceso] = [Nombre de archivo] -services
HKLM\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon\
Shell = Explorer.exe, [Nombre de archivo] -shell
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run\
[Nombre del proceso] = [Nombre de archivo] -drivers
El nombre del proceso es formado uniendo alguna de las siguientes cadenas, al final también puede agregar los números "16" o "32":
check
config
disk
drive
init
load
monitor
reg
scan
service
stat
system
win
Termina los procesos de algunos antivirus y aplicaciones de seguridad.
Modifica la siguiente clave para evitar el uso del editor del registro:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001
También modifica las siguientes claves:
HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer\
DisallowRun\
El gusano borra varias claves para desactivar Windows Update.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4290
