W32/Sillyban

SILLYBAN gusano de Internet infecta raíz de unidades de discos incluso removibles muestra mensajes, etc.

W32/Sillyban

W32/Sillyban es un gusano residente en memoria reportado el 20 de Octubre del 2007, que se propaga a través de servicios de Internet.

Infecta la raíz de las unidades de disco, incluyendo dispositivos USB. Muestra mensajes en la pantalla y ejecuta un archivo de sonido MP3

Infecta Windows 95/98/Me/NT/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 1,148 bytes.

Al activarse se copia a las siguientes rutas con los nombres de archivos:

C:\heap41\2.mp3
C:\heap41\autorun.inf
C:\heap41\drivelist.txt
C:\heap41\Icon.ico
C:\heap41\reproduce.txt
C:\heap41\script1.txt
C:\heap41\std.txt
C:\heap41\svchost.exe
C:\heap41\offspring\autorun.inf
%Temp%\MicrosoftPowerPoint\2.mp3
%Temp%\MicrosoftPowerPoint\drivelist.txt
%Temp%\MicrosoftPowerPoint\Icon.ico
%Temp%\MicrosoftPowerPoint\Install.txt
%Temp%\MicrosoftPowerPoint\pathlist.txt
%Temp%\MicrosoftPowerPoint\svchost.exe
%UserProfile%\Start Menu\Programs\Startup\.lnk

Crea además la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue" = "0"

para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"status" = "present"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"winlogon" = "C:\heap41a\svchost.exe C:\heap41a\std.txt"

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

Al siguiente inicio del equipo, para infectar todas las unidades de disco del sistema el gusano se copia a:

[Unidad_de_disco]\reproduce.txt
[Unidad_de_disco]\autorun.inf

Luego comprueba en el título de la ventana activa de Windows, la existencia de las siguientes cadenas:

orkut
youtube

Y en caso de hallarlas muestra el siguiente mensaje:

[cadena] is BANNED you fool, The adminstrators didn't write this program guess who did??"

Comprueba además en el título de la ventana activa de Windows, la existencia de la cadena:

Mozilla Firefox

Y en caso de hallarla muestra el mensaje:

"USE INTERNET EXPLORER YOU DOPE, I DNT HATE MOZILLA BUT USE IE OR ELSE..."

El gusano cierra la ventana activa de Windows y ejecuta el siguiente archivo de audio:

c:\heap41\2.mp3

Infecta la raíz de las unidades de disco removibles, incluyendo dispositivos removibles de almacenamiento USB.

PER ANTIVIRUS® versiones 10.2 y 10.3 con registro de virus al 20 de Octubre del 2007 detecta y elimina eficientemente este gusano.