Annew

ANNEW gusano de Internet deshabilita administrador de registros tareas restaurador de sistema, etc., inutiliza Windows.

W32/Annew

Annew es un destructivo gusano reportado el 09 de Febrero del 2007 residente en memoria que se propaga a través de diversos servicios de Internet.

Deshabilita el Editor de Registros, Administrador de Tareas, Restaurardor del Sistema y diversos servicios y estados de carpetas y archivos, dejando al sistema inutilizable.

Será necesario re-instalar Windows, previa revisión de todas las unidades de disco y estaciones conectadas a la Red Local, con un antivirus actualizado.

Es un PE (Portable Ejecutable) infecta Windows 98/Me/NT/2000/NT/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 209KB y comprimido con rutinas propias.

Al ingresar a un sistema se copia a las siguientes rutas con los nombres:

%UserProfile%\Application Data\Microsoft\Internet Explorer\Quick Launch\Quick Launch.exe
%CommonProgramFiles%\default.exe
%System%\msnmsgr.exe
%Windir%\msdos.pif
%SystemDrive%\[nombre_de_archivo].exe

El archivo con extensión .EXE en %SystemDrive% se copia inumerables veces bajo diferentes nombres, dependiendo de las veces que se ejecute el gusano. La variable [nombre_de_archivo] es una de las siguientes:

Symantec
Mod32
Mcafee
Bitdefender
Sophos
Avast
Panda
Kaspersky
Avg
F-Secure
Security
Music
Books
Love
Star
Games
EBooks
Computer
Pizza
Home
Photos
Shop
Adobe
Internet
Program Files
Sex
NoteBook
Sky
My Pictures
Files
Downloads
Norton
Cartoons
Microsoft
Pacman
KingKong
Windows
Thailand
Zoo
Car

para ejecutarse la próxima vez que se re-inicie el sistema modifica las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %windir%\msdos.pif"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr" = "%System%\msnmsgr.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr" = "%System%\msnmsgr.exe"

El gusano agrega a %SystemDrive%\autorun.inf, las siguientes líneas para ejecutarse cada vez que un dispositivo de almacenamiento externo es conectado a otro equipo:

Open=[nombre_de_archivo].exe
shellexecute=[nombre_de_archivo].exe
shell\Auto\command=[nombre_de_archivo].exe
Shell=Auto

Luego modifica las siguientes entradas de registro:

Para deshabilitar el Editor de registros:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System]
"DisableRegistryTools" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

Para deshabilitar el CMD:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System]
"DisableCMD" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "1"

Para deshabilitar el Administrador de Tareas:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\System]
"DisableTaskMgr" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para deshabilitar el Restaurador del Sistema:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore]
"DisableConfig" = "1"
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore]
"DisableSR" = "1"

Para deshabilitar otros servicios del sistema modifica las siguientes sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"Norun" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFind" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetFolders" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoLogoff" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"

%Windir% es la variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

%SystemDrive% representa a la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\

al siguiente inicio del equipo el gusano cambia el título de todas las ventanas visibles de Windows, incluyendo las cajas de diálogo a:

[^_^Anti Antivirus^_^]

al mismo tiempo que muestra la siguiente falsa caja de diálogo:

Luego termina los procesos que tenga una de las siguientes cadenas:

cmd
mconfig
task
Proc
Hex
spy

Se copia a todas las carpetas de las unidades de disco del sistema y en caso existir, a todas las estaciones de la Red Local (LAN).

Al activarse las llaves generadas y/o modificadas, varios servicios quedarán inutilizados y el estado de carpetas y archivos cambiados.

Después de revisar todas las unidades del disco con un antivirus actualizado, así como de las estaciones de trabajo conectadas, será necesario re-instalar de nuevo el sistema.

PER ANTIVIRUS® versión 10.0 con registro de virus al 09 de Febrero del 2007 detecta y elimina este gusano.