|
W32/Badday
Badday es un gusano reportado el 04 de Octubre del 2007 que se propaga a través de diversos servicios de Internet. Infecta las unidades de disco incluyendo los dispositivos de almacenamiento removibles.Crea sub-llaves de registro que inhabilitan servicios y desestabilizan el sistema.
Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Visual C++ con una extensión de 108KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al activarse se copia a las siguientes rutas con los nombres de archivos:
En las unidades de disco de la C:\ a la K:\ crea el siguiente archivo:
%Unidad_de disco%\New_Folder.exe
Para ejecutarse cada vez que se acceda a una unidad de disco crea el
archivo:
%Unidad_de
disco%\autorun.inf
Tambie se copia a las unidades de disco de la C:\
a la K:\ con los nombres:
Libera los siguientes archivos en las carpetas:
Para desestabilizar el sistema e inhabilitar determinadas funciones del mismo crea las sub-llaves:
Para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Word" = "%System%\hostdll.exe"
System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
%Unidad_disco% representa a la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\
%CurrentFolder% es la variable correspondiente a la carpeta que se encuentre abierta al momento de producirse la infección.
Al siguiente inicio del equipo, el gusano crea las siguientes sub-llaves:
Para deshabilitar el Editor de Registros crea las sub-llaves:
Para deshabilitar el Adminsitrador de la Barra de Tareas crea las sub-llaves:
Asimismo modifica las sub-llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
"default" = "File Folder"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
"TileInfo" = "prop:DocComments"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
"InfoTip" = "prop:DocComments"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
"default" = "cmd.exe /c del "%1""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegisteredOrganization" = "your system is mine"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegisteredOwner" = "your system is mine"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe, C:\WINDOWS\system32\taskfile.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = 1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ClassicViewState" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun" = "5B"
Luego busca los archivos con las siguientes extensiones:
y crea copias de sí mismo usando los nombres de archivos extraídos a los cuales agrega la extensión .EXE:
%CurrentFolder%\[nombre_de_archivo].[extensión].exe
El gusano cierra las centanas que tengan algunas de las palabras:
Infecta la raíz de las unidades de disco incluyendo los dispositivos de almacenamiento removibles.
Las sub-llaves de registro creadas inhabilitan funciones y desetabilizan el sistema.
Finalmente copia en forma contínuea en la pizarra el siguiente mensaje inocuo:
| Have a Bad Day |
PER ANTIVIRUS® versión 10.2 con registro de virus al 04 de Octubre del 2007 detecta y elimina eficientemente este gusano.
