El virus Pegan.P. se propaga a través del MSN Messenger

usano de Internet que se propaga utilizando el conocido programa de mensajería instantánea de Microsoft, MSN Messenger.

Suele mostrar un mensaje con un enlace como el siguiente (el nombre puede variar):

Foto_celular.scr

Si el usuario acepta el enlace, el gusano se ejecuta en el equipo.

Utiliza diversas técnicas de rootkit para evitar ser detectado.

Luego, se envía a todos los usuarios que encuentre en la lista de contactos del Messenger.

Puede descargar otros archivos desde Internet.

Los siguientes archivos pueden estar presentes en un equipo infectado:

\temp\svchost.exe
c:\windows\system32\logunit.sys
c:\windows\system32\foto_celular.scr

Nota: SVCHOST.EXE (Generic Host Process for Win32 Services), es un archivo legítimo de Windows XP y 2000, utilizado para la ejecución de servicios. La versión original se encuentra en la carpeta "System32" de Windows. En la lista de tareas puede aparecer varias veces, y ello es normal, ya que cada sesión corresponde a un servicio o grupos de servicios que necesitan instalarse de forma autónoma.

NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).