Rahiwi.B

RAHIWI.B gusano de Internet infecta raíz de unidades de disco, removibles y compartidos deshabilita programas funciones, etc.

W32/Rahiwi.B

Rahiwi.B es un destructivo gusano residente en memoria reportado el 23 de Mayo del 2007 que se propaga a través de diversos servicios de Internet e infecta la raíz de todas las carpetas de las unidades de disco, dispositivos removibles de almacenamiento y unidades compartidas.

Deshabilita programas, funciones y servicios del sistema operativo. Deja inoperativo al sistema y será necesario re-instalarlo.

Infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está está programado en Visual C++ con 92KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al activarse se copia a las siguientes rutas, con los nombres:

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif
%Windir%\web\shell.exe
%Windir%\winme.exe
%Windir%Autorun.inf

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:

[HKEY_USERS\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winme"="%Windir%\winme.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell" = "%Windir%\winme.exe"

Para activarse e infectar las carpetas raíz de todas las unidades de disco crea las llaves:

[Unidad_de_disco]:\AUTORUN.INF
[Unidad_de_disco]:\winme.exe

Para activarse cada vez que se ejecuten determinados programas crea las llaves:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell" = "%Windir%\winme.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsfot\Windows NT\CurrentVersion\Winlogon]
"Userinit" = "%System%userinit.exe,%Windir%\winme.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsfot\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe "%Windir%\winme.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug]
"Debugger" = "%Windir%\web\Shell.exe"

Para activarse cada vez que se abran determinados archivos ejecutables crea las llaves:

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
"defecto" = "%Windir%\web\shell.exe" "%1" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command]
"defecto" = "%Windir%\web\shell.exe" "%1" %*"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
"defecto" = "%Windir%\web\shell.exe" "%1" %*"
[HKEY_CLASSES_ROOT\lnkfile\shell\open\command]
"defecto" = "%Windir%\web\shell.exe" "%1" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command]
"defecto" = "%Windir%\web\shell.exe" "%1" %*"

Para deshabilitar el COMMAND crea las sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableCMD" = "1"

Para deshabilitar el Administrador de Tareas crea las sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr" = "1"

Para deshabilitar el editor y herramientas de Registro crea las sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DiableRegistryTools" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools" = "1"

Para deshabilitar la caja de diálogo de Opciones de Carpeta del Explorador de Windows y del Panel de Control crea las sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions" = "1"

Para deshabilitar la Restauración y Configuración del sistema crea las sub-llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore]
"DisableConfig" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore]
"DisableConfig" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore]
"DisableSR" = "1"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\SystemRestore]
"DisableSR" = "1"

Para deshabilitar el punto de Restauración del sistema crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer]
"LimitSystemRestoreCHeckpointing" = "1"

Para deshabilitar el Instalador de Windows crea la sub-llave:

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer]
"DisableMSI" = "1"

Para ocultar las extensiones de archivos del Explorador de Windows creas las sub-llaves:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"HideFileExt" = "1"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden" = "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden" = "0"

Al siguiente inicio del equipo el gusano ejecuta todas las acciones de las llaves de registro creadas y termina los procesos que tengan las siguientes cadenas:

ant
vir
task
reg
asm
dbg
w32
bug
nod
detec
proc
walk
conf
norton
open
mcafee
avast
conso
upg
kasp
updat
install
play
scan
ntvdm
remov
secur
suppo

Todas estas acciones dejarán inoperativo al sistema y será necesario re-instalarlo.

PER ANTIVIRUS® versión 10.1 con registro de virus al 23 de Mayo del 2007 detecta y elimina eficientemente este gusano.