NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es

Anterior

 

 

Gusano que propaga por correo electrónico. Ralentiza notablemente el rendimiento del sistema.

 

Nombre de virus: W32/Inmota.worm
Alias conocidos: TROJ_INMOTECD.A, Trojan.Win32.Inmota
Riesgo Infección: Bajo (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico
Activación: Por ejecución de fichero .PIF adjunto
Detección: desde DATS 4298
Motor necesario: desde 4.2.60
Infección actual: Inicial (Inicial, Media, Elevada)

w32/Inmota.worm, llega adjunto en un mensaje de correo electrónico. El nombre del fichero adjunto es default.htm____ (espacios en blanco)_______.pif , de manera que intenta esconder la extensión real del fichero .pif utilizando espacios en blanco en el nombre. Concretamente, 222 espacios en blanco. El tamaño del fichero es de 44544 bytes.

Cuando se ejecuta el fichero adjunto, el gusano responde a todos los mensajes que encuentra en la bandeja de entrada de Outlook / Outlook Express.

También se copia en el sistema local como rundl132.exe (44544 bytes), es importante destacar que el caracter después de rundl es el número 1, y no la letra ele. Asimismo, genera un fichero gate.dll (15872 bytes). Por ejemplo, en un sistema WinXP generaría estos ficheros:

· c:\windows\rundl132.exe

· c:\windows\system32\rundl132.exe

· c:\windows\default.htm___(spaces)_____.pif

· c:\windows\system32\default.htm___(spaces)___.pif

· c:\windows\gate.dll

· c:\windows\system32\gate.dll


Mientras el gusano está activo, es visible en el Administrador de Tareas de Windows, como proceso RUNDL132.EXE (especial atención al número 1)

Introduce una entrada en el registro para llamarse al inicio del sistema:

HKey_Local_Machine\Software\Microsoft\Windows\Currentversion\Run\

· name: PowerProfile

· data: rundl132 kernel.dll, PowerProfileEnable


Un síntoma habitual de la infección por w32/Inmota.worm es una ralentización muy importante del rendimiento del sistema, dejándolo casi inoperativo.


Detección y eliminación
El gusano se controla desde los DAT 4298 , para su eliminación se recomienda ejecutar nuestra utilidad ELINMOTA .

SATINFO, VIRUSCAN SPAIN SERVICE 16 de Octubre de 2003

Anterior