Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Active Scan. Analiza Gratis tu PC

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Fatso.A
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Fatso.A realiza las siguientes acciones:

Finaliza los siguientes procesos, si se encuentran activos:

apvxdwin.exe, atupdater.exe, aupdate.exe, autodown.exe, autotrace.exe, autoupdate.exe, avconsol.exe, avengine.exe, avsynmgr.exe, avwupd32.exe, avxquar.exe, bawindo.exe, blackd.exe, ccapp.exe, ccevtmgr.exe, ccproxy.exe, ccpxysvc.exe, cfiaudit.exe, cmd.exe, defwatch.exe, drwebupw.exe, escanh95.exe, escanhnt.exe, firewall.exe, frameworkservice.exe, icssuppnt.exe, icsupp95.exe, luall.exe, lucoms~1.exe, mcagent.exe, mcshield.exe, mcupdate.exe, mcvsescn.exe, mcvsrte.exe, mcvsshld.exe, msconfig.exe, msdev.exe, navapsvc.exe, navapw32.exe, nisum.exe, nopdb.exe, nprotect.exe, nupgrade.exe, ollydbg.exe, outpost.exe, pavfires.exe, pavproxy.exe, pavsrv50.exe, peid.exe, petools.exe, regedit.exe, reshacker.exe, rtvscan.exe, rulaunch.exe, savscan.exe, shstat.exe, sndsrvc.exe, taskmgr.exe, Update.exe, updaterui.exe, vshwin32.exe, vsstat.exe, vstskmgr.exe, w32dasm.exe, winhex.exe y wscript.exe.

Estos procesos pertenecen, entre otros, a herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos, y finalizarlos deja al ordenador vulnerable frente al ataque de otro malware.
Evita que el usuario pueda acceder a las páginas web de varias compañías antivirus.
Abre el Bloc de Notas y muestra el siguiente texto cuando es ejecutado:

Hey LARISSA fuck off, you fucking n00b!.. Bla bla to your fucking
Saving the world from Bropia, the world n33ds saving from you!

'-S-K-Y-'-D-E-V-I-L-'

Metodo de Infección

Fatso.A crea los siguientes archivos:

FORMATSYS.EXE y SERBW.EXE en el directorio de sistema de Windows.

MSMBW.EXE en el directorio de Windows.

ANNOYING CRAZY FROG GETTING KILLED.PIF, CRAZY FROG GETS KILLED BY TRAIN!.PIF, FAT ELVIS! LOL.PIF, HOW A BLONDE EATS A BANANA...PIF, JENNIFER LOPEZ.SCR, LOL THAT UR PIC!.PIF, LSPT.EXE, ME ON HOLIDAY!.PIF, MONA LISA WANTS HER SMILE BACK.PIF, MY NEW PHOTO!.PIF, SEE MY LESBIAN FRIENDS.PIF, THE CAT AND THE FAN PICCY.PIF y TOPLESS IN MINI SKIRT! LOL.PIF en el directorio raíz de la unidad C:.

Todos estos archivos son copias del gusano, y tienen el atributo oculto.
CRAZY-FROG.HTML, que tiene un tamaño de 745 Bytes, y MESSAGE TO N00B LARISSA.TXT, cuyo tamaño es 156 Bytes, en el directorio raíz de la unidad C:.

Fatso.A modifica el archivo HOSTS, de modo que evita el acceso a las páginas web de diversas compañías antivirus.

Fatso.A crea las siguientes entradas en el Registro de Windows:

Crea una entrada en cada una de las siguientes rutas:

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\ Run

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices

Las entradas creadas tienen un nombre aleatorio seleccionado de la lista: Avnort, ltwob y serpe, y su valor es siempre %windir%\ msmbw.exe, donde %windir% es el directorio de Windows.

Mediante estas entradas, Fatso.A consigue ejecutarse cada vez que Windows se inicia.

Fatso.A modifica determinadas entradas del Registro de Windows, de modo que los archivos ocultos no se muestran en el Explorador de Windows.

>

Método de Propagación

Fatso.A se propaga a través del programa de mensajería instantánea MSN Messenger, de programas de intercambio de archivos punto a punto (P2P) y de CD-ROMs.

1.- Propagación a través de MSN Messenger.

Fatso.A realiza el siguiente proceso:

Al usuario le llega un mensaje instantáneo que contiene un enlace a un archivo del gusano.
Fatso.A es descargado al ordenador cuando el usuario pulsa el enlace.
El gusano envía una copia del mensaje anterior a todos los usuarios que encuentre en la Lista de Contactos de Messenger.

2.- Propagación a través de programas P2P.

Fatso.A realiza el siguiente proceso:

Crea copias de sí mismo en el directorio C:\ MY SHARED FOLDER, si existe. Utiliza los siguientes nombres de archivo:
Messenger Plus! 3.50.exe
MSN all version polygamy.exe
MSN nudge bomb.exe

Otros usuarios de estos programas podrán acceder de manera remota a dicho directorio compartido. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Fatso.A, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Fatso.A.

3.- Propagación a través de CD-ROMs.

Fatso.A crea dos archivos:

- AUTORUN.EXE en el directorio %carpeta de usuario%\ LOCAL SETTINGS\ APPLICATION DATA\ MICROSOFT\ CD BURNING. Este archivo es una copia del gusano.
- AUTORUN.INF, que contiene la línea OPEN=AUTORUN.EXE.
De esta forma, el gusano crea una copia de sí mismo en todos los CD-ROMs que son grabados en el ordenador afectado.
Cuando un CD-ROM infectado sea introducido en un ordenador, Fatso.A se activará automáticamente.

Otros Detalles

Fatso.A está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 17,429 Bytes cuando está comprimido mediante MEW, y de casi 150 KiloBytes una vez descomprimido.

Panda Security - Oferta Especial

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info