W32/Badday.A
Imprimir descripción de Virus
Nombre: W32/Badday.A
Alias: W32.Badday.A
Tipo: Troyano
Tamaño: 110,592 bytes
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 04/10/2007.

Descripción:

W32/Badday.A, troyano que al ejecutarse crea los siguientes archivos:

  • %windir%\Media\StartUp\scvhost.exe
  • %windir%\spool32.exe
  • %system%\hostdll.exe
  • %system%\taskfile.exe
  • %systemdrive%\HaveaBadDay.sys

Nota:

- %windir% representa la carpeta Windows (Ej. C:\WINDOWS, C:\WINNT).

- %system% representa la carpeta de Sistema (Ej. C:\WINDOWS\SYSTEM32, C:\WINNT\SYSTEM32).

- %systemdrive% representa la unidad de disco que aloja al sistema operativo (Ej. C:\).

El gusano crea los siguientes archivos en las unidades de disco desde "C" hasta "K":

  • [Unidad]:\New_Folder.exe
  • [Unidad]:\cool data.exe
  • [Unidad]:\New Folder (4).exe
  • [Unidad]:\dataku.exe
  • [Unidad]:\data kuliah.exe
  • [Unidad]:\New Folder (5).exe
  • [Unidad]:\system.exe
  • [Unidad]:\funny doc.exe

También crea el siguiente archivo para ejecutarse cada vez que se accede a la unidad:

  • [Unidad]:\autorun.inf

El gusano crea los siguientes archivos en la carpeta desde la cual es ejecutada:

  • [CarpetaActual]\jangan dihapus .exe
  • [CarpetaActual]\my sweety .exe
  • [CarpetaActual]\foto cewek .exe
  • [CarpetaActual]\kekasishku .exe
  • [CarpetaActual]\data penting .exe
  • [CarpetaActual]\downlodan .exe
  • [CarpetaActual]\update antivir .exe
  • [CarpetaActual]\kumpulan program .exe
  • [CarpetaActual]\movie bkp .exe
  • [CarpetaActual]\nitip .exe
  • [CarpetaActual]\folder option .exe

Luego el gusano crea las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
"NeverShowExt" = ""

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WindowsProfile.EXE
"(default)" = "%Windir%\Media\StartUp\scvhost.exe"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
"NoFolderOptions" = "1"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"WindowsProfile" = "WindowsProfile Rundll32.exe"

"Printer Cpl" = "%Windir%\spool32.exe"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore
"DisableConfig" = "1"
 

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
"DisableMSI" = "1"

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Window Title" = ">> Have A Bad Day <<"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
"Startup" = "%Windir%\Media\StartUp"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoFind" = "1"

"NoFolderOptions" = "1"

"NoRun" = "1"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableCMD" = "1"

 

El gusano crea la siguiente entrada de registro para ejecutarse en cada inicio de Windows:

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Microsoft Word" = "%System%\hostdll.exe"

 

Luego crea las siguientes entradas de registro para deshabilitar el Editor del Registro de Windows:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
"DisableRegistryTools" = "1"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableRegistryTools" = "1"

 

También crea las siguientes entradas de registro para deshabilitar el Administrador de Tareas de Windows:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
"DisableTaskMgr" = "1"

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
"DisableTaskMgr" = "1"

 

Además modifica las siguientes entradas de registro:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
"(default)" = "File Folder"

"TileInfo" = "prop:DocComments"
"InfoTip" = "prop:DocComments"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command
"(default)" = "cmd.exe /c del "%1""

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
"RegisteredOrganization" = "your system is mine"
"RegisteredOwner" = "your system is mine"
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell" = "Explorer.exe, C:\WINDOWS\system32\taskfile.exe"
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = "2"
"HideFileExt" = 1"
"ShowSuperHidden" = "0"

"ClassicViewState" = "0"
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun" = "5B"

 

El gusano busca archivos con las siguientes extensiones:

 

  • .doc
  • .mpg
  • .3pg
  • .wmv
  • .rar
  • .jpg
  • .txt

Para crear copias de sí mismo usando el nombre y la extensión del archivo:

 

Finalmente el gusano cerrará toda ventana de Windows que contenga una de las siguientes palabras:

  • kill
  • hijack
  • reg
  • process

NOTA: Constantemente se copiará en memoria al portapapeles la siguiente frase:

 

  • "Have a Bad Day"

 

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú