W32/Ganbate

Ganbatees un gusano residente en memoria reportado el 29 de Mayo del 2007 que se propaga a través de servicios de Internet e infecta la raíz de todas las unidades de disco removibles y de recursos compartidos. Deshabilita algunas funciones del sistema operativo. 

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está está programado en Visual C++ con 44KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):


http://upx.sourceforge.net

Al activarse muestra la siguiente falsa caja de diálogo:

1

y se copia a las siguientes rutas, con los nombres:

  • %System%\HistoryJMTi.exe
  • %Windir%\Help\HistoryJMTi.exe
  • %Windir%\security\Database\regedit.exe
  • %Windir%\security\Database\msagent.exe
  • %SystemDrive%\HistoryJMTi.exe

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%SystemDrive% representa a la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“ccctp” = “%Systems%\HistoryJMTi.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“regedit” = “%Windir%\security\Database\regedit.exe”

Para deshabilitar el Administrador de Tareas crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
“DisableTaskMgr” = “1″

Para ocultar ciertos procesos del gusano, libera y ejecuta el siguiente archivo .BAT:

%Windir%\inf\data86.bat

El gusano libera y copia el archivo HistoryJMTi.exe en la carpeta %System% y crea un autorun.inf para activar este archivo cada vez que se acceda a la carpeta de la ruta:

%Windir%\security\Database\autorun.inf

crea además los siguientes archivos en la ruta:

%SystemDrive%\Documents and Settings\All Users\Desktop\HistoryJMTi.txt
%SystemDrive%\HistoryJMTi.txt

El gusano se se copia a la raíz de las unidades de disco removibles y a la de recursos compartidos:

[Unidad_de_disco]\HistoryJMTi.exe

Para activarse cada vez que un disco removible es usado en otro sistema, el gusano copia y ejecuta el autorun.inf en todas las unidades de disco removibles y en las de recursos compartidos:

[Unidad_de_disco]\autorun.inf

PER ANTIVIRUS® versión 10.1 con registro de virus al 29 de Mayo del 2007 detecta y elimina eficientemente este gusano.

FUENTE: perantivirus.com