BitDefender Antivirus
Contacte con nosotros | Mi BitDefender

Win32.Gagasd

Propagación : medio
Daño : alto
Tamaño: aprox 30kb
Detectado : 2007 Sep 08

SINTOMAS:

Presencia de los siguientes archivos en c:\windows\system: ctfmon.exe, gg_ads_clk.cfg, gg_ads_rep.dat, gg_ads_clk.ini,gg_ads_clk.dll,nthide.dll.
Incremento del tamaño de los ejecutable (aproximadamente 30 kb).

DESCRIPCIÓN TÉCNICA:

Una vez ejecutado, el virus realiza las siguientes acciones:
a) Comprueba si el sistema está basado en NT
b) Coloca una dll (%windir%\System\nthide.dll). Se utiliza este archivo para ocultar el virus en el administrador de tareas
c) Comprueba el encabezado del archivo para saber si el proceso en ejecución está infectado o es el componente infectador de archivos. Si se trata de este componente, entonces copia el archivo original en c:\windows\system\ctfmon.exe y lo ejecuta.

Cuando se ejecuta ctfmon.exe, crea el archivo DATA-0FAB1924-5DBF-1947-157BA64AC7945BB1, se añade en la clave del registro HKCU\Software\Microsoft\Windows\Current Version\Run\ctfmon.exe y coloca los siguientes archivos:
c:\windows\system\cure.exe
c:\windows\system\gg_ads_clk.cfg
c:\windows\system\gg_ads_clk.ini
c:\windows\system\gg_ads_clk.dll

A continuación se inician dos hijos de ejecución. Uno que infecta los archivos y otro que envía e-mails con el virus adjunto.
Este virus envía los mensajes desde la dirección tmp_rudebox@mail.ru. El mensaje aparece como enviado por Robbie Williams (Robbie@robbiewilliams.com), Asunto = gg_ads_report or gg_ads_update, y contiene el virus adjunto.

La infección empieza buscando archivos .exe en los discos locales, remotos y extraíbles. Sólo infecta a los archivos con un tamaño entre 32000  bytes y 6000000 bytes, y archivos con iconos. Cuando se detecta un archivo con estas características, el infector copia el archivo c:\windows\system\ctfmon.exe en la carpeta %Temp%\unique_file_name.exe (dónde unique_file_name es un número único parecido al CLSID generado por el virus). A continuación copia el icono del archivo original en el apartado .rsrc del archivo %Temp%\unique_file_name.exe, consiguiendo que el archivo infectado tenga el mismo icono que el original. Posteriormente cifra el archivo original (añadiendo 1 en cada byte) y lo anexa al archivo %Temp%\unique_file_name.exe. Finalmente, el infector sobrescribe el archivo original con el %Temp%\unique_file_name.exe.


INSTRUCCIONES DE LIMPIEZA:

Analice sus archivos con BitDefender para desinfectarlos.

ANALIZADO POR:

Mihai Razvan Benchea, investigador de virus
©   2010 BITDEFENDER Mapa del Sitio | Términos legales | Política de Privacidad