Virus informático I Love you

Win32/Agent.RKS

Win32/Agent.RKS es un troyano que intenta descargar otros programas maliciosos desde Internet.

Instalación

Cuando se ejecuta, el troyano crea los siguientes archivos:

%appdata%{%variable%}ntuser.cpl (12032 B)

%appdata%{%variable%}desktop.ini

Una cadena con contenido variable se utiliza en lugar de %variable%.

El troyano ejecuta el siguiente comando:

rundll32.exe "%appdata%{%variable%}ntuser.cpl",_4CDFA75B

Las siguientes entradas del registro se crean:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion RunOnce]

"{%variable%}" = "rundll32

"%APPDATA%{%variable%}ntuser.cpl",_4CDFA75B"

Efectos

1. Modifica los valores de registro.
2. Puerta trasera abierta para otros elementos de malware.
3. Invita a los troyanos y virus adicionales.
4. Roba información personal del sistema infectado.
5. Estancias en el fondo.
6. Se conecta a internet.

Otra información

El troyano puede establecer las siguientes entradas del registro: [HKEY_CURRENT_USERSOFTWAREMicrosoftInternet Explorer LowRegistry] "ms-ldr" = "%malwarepath%" El troyano crea y ejecuta un nuevo hilo con su propio código de programa en todos los procesos en ejecución.

Chequea la conexión a Internet pora tratar de conectara las siguientes direcciones: www.microsoft.com

Adquiere datos y comandos desde un equipo remoto o en Internet. También contiene una dirección URL. Puede descargar y ejecutar un archivo desde Internet. Utiliza el protocolo HTTP.

Fuentes

http://www.bestsafeguardtools.com/Unknown/how+to+remove+Win32.AutoRun.Delf.HA.html http://www.eset.com/us/threat-center/encyclopedia