worm winfig

Descrição Resumida:
Quando executado, este worm se auto-copia para o diretório Windows, com o nome WINFIG.EXE, e em alguns casos como KERNELG.EXE, neste caso dentro do diretório SYSTEM.
Ele faz uma alteração dentro do arquivo WIN.INI de sorte a ser executado a cada reinicialização do Windows:
run = c:\windows\winfig.exe ou run = c:\windows\kernelg.exeQuando este worm está instalado num sistema, ele aparece na barra de tarefas do Windows como a tarefa “WinSound”. Ele então busca por um disco no drive a: do sistema infectado, se encontrar um disquete ele tentará gravar um arquivo de nome WINSOUND.EXE. Este é seu método típico de transmissão. A partir do dia 1º de outubro, esse worm cria um arquivo de imagem, com o nome FxxxFhc.bmp, na pasta Windows e então adiciona a seguinte chave no Registro:
HKEY_USERS \.Default \Control Panel \Desktop
Wallpaper = “c:\windows\FxxxFhc.bmp”

Esse novo papel de parede mostra uma série de caras de ETs na tela, daí que esse worm também é conhecido como Alien. Ele também modifica o arquivo AUTOEXEC.BAT de sorte a que após um reinício do sistema ele mostra o seguinte texto, e em seguida o worm deleta o arquivo WIN.COM da pasta Windows:

“Ciudado com o comigo…
Eu voutarei…
Autiexec.bat destruido…
Mentira, eu nto vou voltar…”

A partir desse momento o Windows passa a ter problema de reiniciar normalmente.

Apelidos/Variantes: WINFIG.A, Win32.HLLP.Winfig, W32.Winfig.gen, Alien.Worm, W32.Alien.worm, Troj_Winsound