Nombre completo: [email protected]
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Mecanismo principal de difusión: [DE] - Se propaga a dispositivos extraíbles insertados o conectados en/al equipo afectado.
Alias:W32.SillyFDC.BCK (Symantec)
Detalles
Método de Infección/Efectos

Cuando se ejecuta el gusano se copia a si mismo como el siguiente fichero:
%SystemDrive%\CONFIG\[SID]\Cfg.exe

Posteriormente crea el siguiente fichero:
%SystemDrive%\CONFIG\[SID]\Desktop.ini

Nota: %SystemDrive% es una variable que hace referencia a la unidad en la que Windows está instalado.
Por defecto es C:.

Crea la siguiente entrada del registro para ejecutarse cada vez que se inicie Windows:
Clave: HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{28ABC5C0-4FCB-11CF-AAX5-21CX5C544541}\

Valor: "StubPath" = "%SystemDrive%\CONFIG\[SID]\Cfg.exe"

Una vez infectado el ordenador trata de acceder al siguiente sitio remoto:
URL: [http:]roon.shannen.[eliminado]
Método de Propagación

Se propaga a través de unidadeas extraibles.

Se copia a si mismo a todas las unidades extraibles como los siguientes ficheros:
fichero: %Drive%\CONFIG\[SID]\Cfg.exe

fichero: %Drive%\\CONFIG\[SID]\Desktop.ini

Crea el siguiente fichero en todas las unidades extraibles para auto ejecutarse cuando se acceda a ellas:
fichero: %Drive%\autorun.inf

Nota: %Drive% es una variable que hace referencia a la unidad física o extraíble en la que se crea el fichero (H:/ , S:/, etc)


Fuente