Gronev.A
PeligrosidadDañoPropagación

Efectos 

Gronev.A realiza las siguientes acciones:

• Cuando es ejecutado, abre el programa Windows Media Player y reproduce una canción con el título Lagu.
• Cuando se accede a la consola CMD, muestra una ventana como la siguiente:
  
  
  y crea un usuario con el nombre de Vergon y con contraseña, al que no se puede acceder. De esta manera, podría controlar remotamente el ordenador afectado.
• Cada vez que detecta la palabra Search en la barra de direcciones de Internet Explorer, cierra el navegador.

Metodo de Infección 

Gronev.A crea los siguientes archivos:

• VERGON1885.EXE, en el directorio de sistema de Windows. Este archivo es una copia de sí mismo.
• MAN.BAT, en el directorio de sistema de Windows, que corresponde a la ventana que se muestra cuando se accede a la consola CMD.
• LAGU.MP3, en el directorio de Windows. Este archivo corresponde a la canción que se reproduce cuando se ejecuta Gronev.A.

Además, crea las siguientes carpetas en el directorio raíz de todas las unidades del sistema disponibles:
BACKUP
DOC
SECRET
TOOLS
en las que crea copias de sí mismo con los siguientes nombres:
A0011498.EXE
ABG_XXX.3GP.EXE
AVSEQ01.MPG.EXE
IEWMP_10_XPSP2.EXE
WMP_10 FOR XP.EXE
X-EXECUTOR.EXE

Gronev.A crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  wmplayer = %sysdir%\vergon1885.exe
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Gronev.A consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

Gronev.A se propaga a través de las unidades mapeadas. Para ello, comprueba si el ordenador afectado se encuentra conectado a una red.

En caso afirmativo, realiza un inventario de todas las unidades de red mapeadas y crea una copia de sí mismo en cada una de ellas.

Otros Detalles  

Gronev.A está escrito en el lenguaje de programación Visual Basic. Este gusano tiene un tamaño de 143872 Bytes y está comprimido mediante PECompact.