w32/gemel
w32/gemel.worm, w32/p2p.torres.worm, worm.p2p.gemel.a, worm_gemel.a
tipo: gusano
tama?o: 35,328 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.4 al 02/02/2003. descripción:
w32/gemel , se propaga a través de la red de intercambio de archivos kazaa, icq y disquetes.
cuando el gusano se ejecuta este se copia a sí mismo dentro de la siguiente carpeta:
c:\windows\guindows\gedzac.exe
además se copiará a si mismo en caso existan en las siguientes carpetas con cualquiera de las siguientes extensiones .bat, .com, .exe, .pif, .scr. :
c:\program files\grokster\my grokster
c:\archiv~1\grokster\my grokster\
c:\program files\morpheus\my shared folder\
c:\archiv~1\morpheus\my shared folder\
c:\program files\icq\shared files
c :\archiv~1\icq\shared files\
c :\program files\kazaa\my shared folder\
c :\archiv~1\kazaa\my shared folder\
luego creará una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
gedzac=c:\windows\guindows\gedzac.exe
seguidamente modificará otras entradas en el registro para poder cambiar los mensajes mostrados por el msn messenger
finalmente intentará borrar los siguientes archivos:
regedit.exe
msconfig.exe
después de esto el gusano permanece en memoria y cada cierto tiempo revisa la unidad a:\ , en caso haya un disquete insertado se copia con el nombre de atentados terrorista