KABAB gusano de Internet infecta unidades de disco incluso dispositivos removibles desestabiliza Windows.  

© Jorge Machado  Lima-Perú

W32/Kabab

Kabab es un gusano reportado el 22 de Agosto del 2007, residente en memoria que se propaga vía diversos servicios de Internet, incluyendo mensajes de correo electrónico.

Infecta las unidades de disco incluso los dispositivos de almacenamiento removibles. Infecta además recursos compartidos.

Crea sub-llaves de registro que alteran el funcionamiento del sistema y de no realizarse una eficiente reparación manual, será necesario re-instalar el sistema operativo.

Infecta Windows 98/NT/Me/2000/XP/Vista y Server 2003, está desarrollado en Visual C++ con una extensión de 77KB.

Al activarse se copia a las siguientes rutas con los nombres de archivos:

actuando como "dropper" libera los siguientes archivos:

y los copia a las siguientes ubicaciones:

Para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run]
"System handler" = "%System%\~~~OuUuW_YeAh~~~.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartLoad_[Nombre_de_equipo]" = "%System%\~~~OuUuW_YeAh~~~.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Loading_[Nombre_de_equipo]" = "%System%\~~~OuUuW_YeAh~~~.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Winlogon]
"LegalNoticeCaption" = "XPDC OuUuW YeAh KABA-LOVE 17/03/2007 -> 22/03/2007"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Winlogon]
"LegalNoticeText" = "Welcome To [LOGGED ON USER] Computer ---> ;-)"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeText" = "Welcome To [LOGGED_ON_USER] Computer ---> ;-)"

aleatoriamente para garantizar su activación al Inicio agrega las siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "explorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System" = "%System%\~~~OuUuW_YeAh~~~.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%CurrentFolder% es una variable que corresponde a la carpeta que se encuentre abierta al momento de producirse la infección. 

Al siguiente inicio del equipo, el gusano crea la siguiente sub-llave para cambiar el título del Internet Explorer:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Window Title" = "XPDC OuUuW_YeAh KABA-LOVE With COUNTERPAIN ;-)"

Para deshabilitar el Administrador de la Barra de Tareas y el Editor de Registros crea las sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para deshabilitar otras funciones y desestabilizar al sistema agrega valores a las siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"DisableMSI" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoFolderOptions" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
"FullPath" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\CabinetState]
"FullPathAddress" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SystemFileProtection]
"ShowPopups" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable" = "0xFFFFFF9D"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCScan" = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ReportBootOk" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Command Processor]
"EnableExtensions" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "%System%\~~~OuUuW_YeAh~~~.exe"

Infecta las unidades de disco incluyendo los dispositivos de almacenamiento removibles.

Las sub-llaves de registro creadas alteran el sistema y deshabilitan funciones, pudiendo ser necesario re-instalar el sistema operativo. 

PER ANTIVIRUS® versión 10.2 con registro de virus al 22 de Agosto del 2007 detecta y elimina eficientemente este gusano.

Ir al menú anterior

Regresar al Portal de PER SYSTEMS