Rahiwi

RAHIWI gusano de Internet se copia a raiz de unidades de disco deshabilita funciones, deja inoperativo al sistema.

W32/Rahiwi

Rahiwi es un destructivo gusano reportado el 08 de Mayo del 2007, que se propaga a través de diversos servicios de Internet e infecta la raíz de todas las unidades de disco de los sistemas, incluyendo los dispositivos removibles de almacenamiento.

Crea llaves de registro que cambian la página de Inicio del Internet Explorer, intercambia los botones del mouse, cambia el Screen Saver, deshabilita el Editor de Registros, el Administrador de la Barra de Tareas, el Debugger, el Command, oculta archivos, cambia el nombre del producto, etc.

Finalmente deja inoperativo al sistema y será necesario re-instalarlo.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Visual C++ con 57KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al activarse se copia a las siguientes rutas, con los nombres:

[Unidad_de_disco]:\Data_Rahasia Administrator.exe
[Unidad_de_disco]:\Tiwi_Cute.exe
[Unidad_de_disco]:\autorun.inf
[Unidad_de_disco]:\present.txt

crea la siguiente carpeta con la ruta, en caso de no existir:

C:\Documents and Settings\Administrator\Local Settings\Application Data\Windows

inmediatamente después se copia a las siguientes rutas, con los nombres:

C:\Documents and Settings\Administrator\Local Settings\Application Data\Windows\cute.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Windows\imoet.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Windows\smss.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\Windows\winlogon.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe
C:\Documents and Settings\Administrator\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif
C:\WINDOWS\system32\IExplorer.exe
C:\WINDOWS\system32\rpcss.dll
C:\WINDOWS\system32\shell.exe
C:\WINDOWS\system32\tiwi.scr
C:\WINDOWS\tiwi.exe
C:\tiwi.exe

para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\Windows\winlogon.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"tiwi” = "C:\Windows\tiwi"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeCaption" = "Cemlekum"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe "%System%\IExplorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%System%\userinit.exe,%System%\IExplorer.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LogonAdministrator" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\Windows\imoet.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"System Monitoring" = "C:\Documents and Settings\Administrator\Local Settings\Application Data\Windows\cute.exe"

Para ejecutarse cada vez que se haga doble ckick en archivos con las extensiones .bat, .com, .exe, .inf, .lnk, y .pif, crea las llaves de registro:

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
"Default" = "%System%\shell.exe" "%1" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command]
"Default" = "%System%\shell.exe" "%1" %*"
[HKEY_CLASSES_ROOT\exefile]
"Default" = "%System%\shell.exe" = "%1" %*
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
"Default" = "%System%\shell.exe" "%1" %*"
[HKEY_CLASSES_ROOT\inffile\shell\Install\command]
"Default" = "%System%\shell.exe" "%1" %*"
[HKEY_CLASSES_ROOT\lnkfile\shell\open\command]
"Default" = "%System%\shell.exe" "%1" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command]
"Default" = "%System%\shell.exe" "%1" %*"

Para intercambiar los botones del mouse crea la sub-llave:

[HKEY_CURRENT_USER\Control Panel\Mouse]
"SwapMouseButtons" = "01 00 00 00"

Para cambiar la página de Inicio del Internet Explorer, búsqueda de páginas y cambiar el título de Windows crea las llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Page" = "http://google.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://google.com"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Windows Title" = "Princess Tiwi is here"

Para cambiar el Salva Pantallas (Screen Saver) crea las llaves:

[HKEY_CURRENT_USER\Control Panel\Desktop]
"SCRNSAVE.EXE” = "%System%\tiwi.scr"
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut” = "600"
[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaverIsSecure” = "0"

Para deshabilitar el Editor de Registros, el Administrador de la Barra de Tareas, Debugger, el Command, ocultar los archivos, cambiar el nombre del producto, etc. crea las llaves:

[HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}]
"LocalizedString" = "Tiwi_Cute"
[HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}]
"LocalizedString" = "Tiwi Suka Bersih2"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispSettingsPage" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
"Debugger" = "%System%\Shell.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"ProductID” = "U must be use ilegal os, sowhat?"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"ProductName" = "Princess Tiwi"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion]
"RegisteredOrganization" = "Tiwi_Imoet"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"RegisteredOwner" = "Tiwi_Cute"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"LegalNoticeText" = "Ketika sang Putri tertidur, kunyalakan lampion tuk menghangatkan sang putri, dan ku tunggu sang putri terbangun. Entah sampai kapan dia bisa melihat ketulusan hatiku....(kaya di fs nya siafa yach??) :P "
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell" = "C:\Windows\tiwi.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Start_ShowControlPanel" = "0"

Al siguiente inicio del equipo el gusano se copia a la raíz de todas las unidades de disco, incluyendo las removibles y sus llaves de registro realizan diversas alteraciones en el sistema y deshabilitan funciones, dejándolo inoperativo.

PER ANTIVIRUS® versión 10.1 con registro de virus al 08 de Mayo del 2007 detecta y elimina eficientemente este gusano.