procesos que realiza el virus

Cuando Trojan.W32/Peacomm es ejecutado, realiza las siguientes acciones:

1. Deja en el sistema el fichero '%System%\wincom32.sys'.

Nota: %System% es una variable que hace referencia al directorio de sistema de Windows.
Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

2. Utiliza el fichero '%System%\wincom32.sys' para registrar un nuevo driver del sistema con las siguientes caracteristicas:

Nombre mostrado: wincom32
Ruta binaria: %System%\wincom32.sys

3. Crea la siguiente subclave en el registro de Windows para instalar el nuevo servicio:

Subclave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wincom32

4. Utiliza el driver instalado para buscar el proceso 'services.exe', para inyectar un módulo en él.

5. Deja el siguiente fichero de configuración inicial que contiene una lista cifrada de 'equipos colegas' inicial:
* %System%\peers.ini

6. Abre el puerto UDP 4000 y lo utiliza para establecer canales de comunicación cifrada con otros 'equipos colegas' y permanece en espera de recibir comunicación.

7. Busca otros 'equipos colegas' enviando paquetes UDP a través del puerto 4000.

8. Intercambia información con los 'equipos colegas' encontrados y actualiza su propia lista de colegas.
Estos 'equipos socios' podrían ser utilizados para recibir comandos y enviar instrucciones a un servidor central.

9. Podría descargar y ejecutar los siguientes ficheros:
* 217.107.217.187/[- eliminado -]/game0.exe - (es el troyano Trojan.W32/Abwiz.F).
* 81.177.3.169/[- eliminado -]/game1.exe - (es el gusano Worm.W32/Nuwar.M).
* 81.177.3.169/[- eliminado -]/game2.exe - (es el gusano Worm.W32/Nuwar.M).
* 81.177.3.169/[- eliminado -]/game4.exe - (es el gusano Worm.W32/Nuwar.M).