Virtual Rosario

Gusano de Internet que se propaga utilizando el conocido programa de mensajería instantánea de Microsoft, MSN Messenger.

Nombre: Pegan.K Nombre NOD32: Win32/Pegan.K Tipo: Caballo de Troya Alias: Pegan.K, Email-Worm.Win32.Agent.c, Trojan.Agent.AAIT, Trojan-Downloader.Win32.Banload.ams, W32/Malware.XZH, W32/MSNworm.A.worm, Win32.Agent.c, Win32/Pegan.K, Worm.Agent.C.16, Worm/Agent.C.16 Plataforma: Windows 32-bit Tamaño: 18,921 bytes (UPX).
Suele mostrar un mensaje con un enlace como el siguiente (el nombre puede variar):

Foto_celular.scr

Si el usuario acepta el enlace, el gusano se ejecuta en el equipo.

Utiliza diversas técnicas de rootkit para evitar ser detectado.

Luego, se envía a todos los usuarios que encuentre en la lista de contactos del Messenger.

Puede descargar otros archivos desde Internet.

Los siguientes archivos pueden estar presentes en un equipo infectado:

tempsvchost.exe
c:windowssystem32logunit.sys
c:windowssystem32foto_celular.scr

Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es un archivo legítimo de Windows XP y 2000, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta “System32″ de Windows. En la lista de tareas puede aparecer varias veces, y ello es normal, ya que cada sesión corresponde a un servicio o grupos de servicios que necesitan instalarse de forma autónoma.

NOTA: La carpeta TEMP está ubicada en “c:windowstemp”, “c:winnttemp”, o “c:documents and settings[usuario]local settingstemp”, de acuerdo al sistema operativo.

NOTA: “c:windowssystem32″ puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como “c:winntsystem32″ en Windows NT y 2000 y “c:windowssystem” en Windows 9x y ME).

Fuente: VS Antivirus