Del-470 es es la denominación de diferentes variantes de un gusano/troyano que propaga a través de aplicaciones de compartición de ficheros, tales como eMule, Kazaa, Morpheus, y Gnucleus. La ejecución de su código troyano reduce el nivel de seguridad del sistema, desactiva el Administrador de Tareas, el Panel de Control, Editor de Registro, Windows Firewall y Windows Autoupdate, a la vez que borra ficheros con extensiones .MP3, .AVI, .MPG, .MPEG, y .RAR.

Afecta a sistemas Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP y Windows Server 2003.

Síntomas

En función de la variante de Del-470, genera estos ficheros

o bien

Luego intercepta claves en el registro de sistema para modificar la ejecución de diferentes tipos de archivo, y provocar de este modo que pasen siempre por la ejecución del fichero malicioso. Las extensiones interceptadas son: .COM, .BAT, .EXE, .PIF, .SCR, .INF, .REG, .VBS y .VBE.

Sin embargo, como el código del troyano no generó los ficheros maliciosos en %ProgramFiles%, sino directamente en el directorio c:\Program Files , esto provoca, que en sistemas operativos en castellano, donde no existe esta ruta (es c:\Archivos de programa), el código no encuentre la copia del gusano y en consecuencia no ejecute la llamada en las claves de interceptación.

Payload

Como indicamos más arriba, un payload del Del-470 es la eliminación de ficheros con extensiones .MP3, .AVI, .MPG, .MPEG, y .RAR. Es importante indicar que estos ficheros pueden ser recuperados por herramientas recuperación de ficheros borrados, siempre y cuando no se hayan realizado escrituras posteriores en disco.