PDA

Ver la versión completa : Un Virus Llamado Duksten



Sn@ke
08-05-2003, 00:34
Duksten es un gusano reportado 16 de Octubre del 2002, como BogusBear, pero que ha vuelto a ser propagado el 06 de Mayo del 2003 desde España y con las mismas características, vale decir, simulando contener una "protección" contra el gusano BugBear, dentro del mismo archivo anexado denominado protect.zip y sin ningún contenido.




Está desarrollado en ensamblador y encriptado con rutinas propietarias. Es un PE (Portable Ejecutable) de 9.5 KB de extensión que infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000.

Sus payloads son los siguientes:

Se propaga a través de mensajes de correo simulando ser un antivirus específico.
Muestra una pantalla con falso contenido.
Libera 3 archivos con determinadas funciones.
Renombra el archivo Regedit.exe y crea uno falso con el nombre original.
Al ejecutar el falso Regedit.exe se borrarán determinadas llaves del registro.
Verifica que el año de la fecha del sistema sea 2003 y al comprobarlo cerrará Windows, impidiendo que el sistema sea iniciado, provocando en forma constante (loop) el re-inicio del sistema operativo.
Será necesario reinstalar Windows.
Fuente: Per Antivirus