W32/Baki.D
Imprimir descripción de Virus
Nombre: W32/Baki.D
Alias: W32.Baki.D
Tipo: Worm
Tamaño: 95,918 bytes
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 07/12/2007.

Descripción:

W32/Baki.D, gusano que al ejecutarse crea los siguientes archivos:

  • %systemdrive%\AUTORUN.INF
  • %userprofile%\Mis Documentos\Mis Documentos.exe
  • %systemdrive%\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\default.pif
  • %systemdrive%\Documents and Settings\All Users\Documentos\Music.exe
  • %windir%\Auto.inf
  • %windir%\System32.exe
  • %windir%\fonts\lsass.exe
  • %windir%\System32\config\systemprofile\Datos de programa\smss.exe
  • %windir%\System32\config\systemprofile\Mis documentos\Mis documentos.exe
  • %windir%\System32\wbem\xml\csrss.exe
  • C:\Windows\SoftWareProtector\dat15wa10_out.pr
  • %systemdrive%\Windowxp\Explorer.exe

Nota:

- %systemdrive% representa la Unidad de instalación del Sistema Operativo Windows (Ej. C:\).

- %userprofile% representa la carpeta de configuración del Usuario (Ej. C:\DOCUMENTS AND SETTINGS\USUARIO).

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

Seguidamente el gusano modifica la siguiente entrada de registro logrando ejecutarse en cada inicio de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit" = "%Windir%\System32\userinit.exe,%Windir%\fonts\lsass.exe"

También modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
"LegalNoticeCaption" = "FRANCIS KALONZO MUSYOKA-MWELEKEO MPYA"
"LegalNoticeText" = "VISION:I will offer you leadership based on respect, equality accountability, and personal integrity. A new direction in the conduct of our public affairs is on the way. A complete paradigm shift"
"kb" = "AUTO.TXT"
"shutdownwithoutlogon" = "0"

HKEY_CLASSES_ROOT\Directory\Shell\kalonzo
"(Default Value)" = " &Francis kalonzo Musyoka"

Luego modifica las siguientes entradas de registro para lograr ejecutarse al abrir ciertos archivos:

HKEY_CLASSES_ROOT\Directory\Shell\kalonzo\command
"(Default Value)" = ""%Windir%\System32\wbem\xml\csrss.exe" "%1" %"

HKEY_CLASSES_ROOT\batfile\shell\open\command
"(Default Value)" = ""%Windir%\System32\wbem\xml\csrss.exe" "%1" %"

HKEY_CLASSES_ROOT\comfile\shell\open\command
"(Default Value)" = ""%Windir%\System32\wbem\xml\csrss.exe" "%1" %"

HKEY_CLASSES_ROOT\exefile
"(Default Value)" = ""%Windir%\System32\wbem\xml\csrss.exe" "%1" %"

HKEY_CLASSES_ROOT\lnkfile\shell\open\command
"(Default Value)" = ""%Windir%\System32\wbem\xml\csrss.exe" "%1" %"

HKEY_CLASSES_ROOT\piffile\shell\open\command
"(Default Value)" = ""%Windir%\System32\wbem\xml\csrss.exe" "%1" %"

También modifica la siguiente entrada de registro para lograr ejecutarse en MODO SEGURO:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
"AlternateShell" = "%Windir%\System32\config\systemprofile\Datos de programa\smss.exe"

También modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
"Auto" = "1"
"Debugger" = "%Windir%\fonts\lsass.exe"

Luego el gusano modifica las siguientes entradas de registro para lograr deshabilitar la opción de Restaurar Sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
"DisableConfig" = "1"
"DisableSR" = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
"DisableMSI" = "1"
"LimitSystemRestoreCheckpointing" = "1

Luego modifica las siguientes entradas de registro relacionadas con aspectos de seguridad de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoControlPanel" = "1"
"NoFolderOptions" = "1"

HKEY_CURRENT_USER\Control Panel\Desktop
"Coolswitch" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = "0"
"HideFileExt" = "1"
"ShowSuperHidden" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoClose" = "1"
"NoControlPanel" = "1"
"NoDrives" = "1"
"NoEntireNetwork" = "1"
"NoFind" = "1"
"NoFolderOptions" = "1"
"NoResolveSearch" = "1"
"NoResolveTrack" = "1"
"NoRun" = "1"
"NoSecurityTab" = "1"
"NoShellSearchButton" = "1"
"NoSimpleStartMenu" = "1"
"NoUserNameInStartMenu" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
"Disable" = "1"

Segudamente el gusano trata de finalizar los siguientes procesos:

  • McVSEscn.exe
  • mcagent.exe
  • mcshield.exe
  • nod32krn.exe
  • nod32kui.exe
  • avgcc.exe
  • Mcmnhdlr.exe
  • McVsftsn.exe
  • AVS 2007.exe
  • kav6.0.2.621en.exe
  • psctrls.exe
  • Ashserv.exe
  • Ashwebsv.exe
  • Ashdisp.exe
  • aswupdsv.exe
  • Ashmaisv.exe
  • Ashavast.exe
  • nod32.exe
  • avengine.exe
  • pavsrv51.exe
  • psimsvc.exe
  • Apvxdwin.exe
  • msiexec.exe

También tratara de cerrar las ventanas que contengan alguna de las siguientes frases:

  • W32
  • BUG
  • CLEA
  • DETEC
  • PROC
  • MECHAN
  • AVAST
  • ESSET
  • KASP
  • NOD32
  • NORTON
  • MCAFEE
  • SYMAN
  • CONSOL
  • MANAGEMENT
  • TRIA
  • INSTALL
  • SETUP
  • SUPPORT
  • SCAN
  • UNHO
  • AVS
  • COMPON
  • ADMINI
  • PAND
  • KAV
  • CONFIG

Para luego tratar de eliminar los siguientes archivos, si existen; y luego se copia tomando el nombre de la carpeta:

  • %programfiles%\ESET\nod32.exe
  • %programfiles%\ESET\nod32krn.exe
  • %programfiles%\ESET\nod32kui.exe
  • %programfiles%\McAfee.com\VSO\Mcshield.exe
  • %programfiles%\McAfee.com\VSO\McVSEscn.exe
  • %programfiles%\McAfee.com\Agent\mcagent.exe
  • %programfiles%\McAfee.com\VSO\Mcmnhdlr.exe
  • %programfiles%\McAfee.com\VSO\Mcvsftsn.exe
  • %programfiles%\Grisoft\Avg free\avgcc.exe
  • %programfiles%\Grisoft\Avg free\avgvv.exe
  • %programfiles%\Grisoft\Avg free\avgw.exe
  • %programfiles%\Alwil Software\Avast4\ashdisp.exe
  • %programfiles%\Alwil Software\Avast4\ashwebsv.exe
  • %programfiles%\Alwil Software\Avast4\ashserv.exe
  • %programfiles%\Alwil Software\Avast4\ashmaisv.exe
  • %programfiles%\Alwil Software\Avast4\sched.exe
  • %programfiles%\Alwil Software\Avast4\visthupd.exe
  • %programfiles%\Alwil Software\Avast4\ashAvast.exe
  • %programfiles%\Alwil Software\Avast4\ashBug.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\Avltmain.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\Apvxdwin.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\Avciman.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\Avengine.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\pavsrv51.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\psimsvc.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\apvxdwin.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\Avtask.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\lupgconf.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\avengine.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\avlite.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\webproxy.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\psctrls.exe
  • %programfiles%\Panda Software\Panda Antivirus 2007\panicsh.exe

Nota:

- %programfiles% representa la carpeta de instalación por defecto de los programas (Ej. C:\ARCHIVOS DE PROGRAMA).

 

Finalmente el gusano se copia a sí mismo en las unidades extraíbles con el siguiente nombre:

  •  [UNIDAD]:\Windowxp\Explorer.exe

También crea el siguiente archivo para lograr ejecutarse cada vez que se acceda a la unidad extraíble:

  •  [UNIDAD]:\AUTORUN.INF

 

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú