Mutafrog


Gusano para la plataforma Windows que infecta todas las unidades extraíbles conectadas al equipo comprometido y a todos los ficheros PHP, ASP y HTM de la máquina.

Difusión: Baja Fecha de Alta:15-06-2009
Última Actualización:15-06-2009

Daño: Bajo

Dispersibilidad: Alto

Nombre completo: [email protected]

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraíbles).

Alias:VBS.Mutafrog (Symantec)

Método de Infección/Efectos

Cuando se ejecuta por primera vez, el virus crea los siguientes ficheros:

* %Windir%\MsSvrdll.vbs
* %System%\MsSvrdll.vbs

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

A continuación crea las siguientes entradas en el registro de Windows para que los ficheros descargados sean ejecutados en cada inicio de Windows:

Código:
Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
Valor:"a" = "%Windir%\MsSvrdll.vbs"

Clave:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
Valor:"a" = "%System%\MsSvrdll.vbs"
A continuación el gusano ejecuta los siguientes ficheros procedentes de una infección anterior si estuvieran presentes:

* %System%\svch0st.exe
* %Windir%\system\dllhost.com

El gusano crea el siguiente archivo en todas las unidades fijas y extraíbles del sistema:

* %Drive%\READ ME.TXT.vbs

Nota: %Drive% es una variable que hace referencia a la unidad física o extraíble en la que se crea el fichero (H:/ , S:/, etc).

También busca, tanto en las unidades fijas como en las extraíbles, ficheros con las siguientes extensiones para infectarlos:

* .asp
* .html
* .htm
* .php

Este gusano puede ser ejecutado en Windows 95, Windows 98, Windows Me, Windows XP, Windows Vista, Windows NT, Windows Server 2000 y Windows 2003.

FUENTE: Alerta-Antivirus.es: Detalles del virus Mutafrog