W32/Madag

MADAG gusano infecta unidades de disco archivos MS Word deshabilita funciones Explorador termina aplicaciones.

W32/Madag

Madag es un gusano reportado el 07 de Abril del 2008 que se propaga a través de algunos servicios de Internet.

Infecta las unidades de disco fijas y removibles, excepto la unidad A:\

Deshabilita algunas funciones del Explorador de Windows, infecta los archivos de Microsoft Word con extensión .DOC y a los cuales renombra como .EXE y termina el proceso de aplicaciones que tengan determinadas cadenas de texto.

Infecta Windows 95/98/Me/NT/2000/XP y Server 2003, desarrollado en Visual C++, con una extensión de 56KB y está encriptado con rutinas propias.

Al ingresar a un sistema se copia a las siguientes rutas:

%System%\export\services.exe
%System%\normal.dot
%Windir%\winsyst.exe
%Windir%\winnt.exe

Para ejecutarse la próxima vez que se re-incie el sistema crea las llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"this free" = "%Windir%\winsyst.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"vbwq cute" = "%Windir%\winnt.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogin]
"Shell" = "Explorer.exe %Windir%\winnt.exe"

Para deshabilitar algunas funciones del Explorador de Windows modifica las siguientes llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\CurrentControlSet\Control\SafeBoot]
"AlternateShell" = "%Windir%\winsyst.exe"
[HKEY_CLASSES_ROOT\.inf]
"Default" = "txtfile"
[HKEY_CLASSES_ROOT\.reg]
"Default" = "txtfile"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "2"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"CheckedValue" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"DefaultValue" = "0"

Al siguiente inicio del equipo el gusano se copia a todas las unidades de disco removibles:

%Unidad_de_disco%\Thoojloi.exe

Para activarse cada vez que se acceda a una unidad de disco se copia como archivo oculto a:

%Unidad_de_disco%\Autorun.inf

El gusano infecta todos los archivos de Microsoft Word con extensión .DOC y a los cuales renombra como archivos .EXE

Finalmente el gusano termina todas las aplicaciones en uso cuyos nombre tengan alguna de las siguientes cadenas:

task
anti
application data
command prompt
compact
compiler
delphi
detect
hacker
hijack
killbox
movzx
process
registry
security
superdat
system32
vbde
virus
visual

PER ANTIVIRUS® versión X5 con registro de virus al 07 de Abril del 2008 detecta y elimina este gusano.