W32/Rarbeauty@MM
Imprimir descripción de Virus
Nombre: W32/Rarbeauty@MM
Alias: W32.Rarbeauty@mm
Tipo: Worm
Tamaño: 36,352 bytes
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 08/12/2007.

Descripción:

W32/Rarbeauty@MM, gusano que al ejecutarse crea los siguientes archivos:

  • %windir%\Help\ctfmon.exe
  • %windir%\System32\msconfig.exe
  • %windir%\System32\regedit.exe
  • %windir%\System32\regedit32.com
  • %windir%\Web\svchost.exe

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

Seguidamente el gusano modifica la siguiente entrada de registro logrando ejecutarse en cada inicio de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit" = "C:\WINDOWS\system32\userinit.exe,regedit32.com"

Luego modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = "0"
"HideFileExt" = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoDriveTypeAutoRun" = "91"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup
"intt" = "C:\WINDOWS\HELP\ctfmon.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
"AutoShareServer" = "1"
"AutoShareWks" = "1"

Luego el gusano reemplaza los siguientes archivos:

  • %windir%\System32\notepad.exe
  • %windir%\System32\regedit.exe

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

Seguidamente el gusano trata de propagarse enviando una copia de sí mismo como archivo adjunto de un correo, el cual es distribuido a toda la lista de contactos.

Los correos electrónicos contienen los siguiente:

Asunto:
  • Is it the Document that you want
  • Is it ther Document that you want? YOU can see it by runing the attachment
  • CAN I HELP YOU
  • BY Microsoft Visual Studio
  • Microsoft Visual Studio is found A LOT BUG! Try to repair by attachments!
  • The best important mend of Microsoft ,Please run the mend!!
  • You should run the mend at once,or you will be infected by the most severity virus SOO
  • Beautifulgirl
  • She is the most beautiful girl of china
  • You can see
  • !Your account have been ready!!
  • Your account have been ready! Open the email
  • Can you help me?
  • Help me to test the Gameprogram?
Adjunto:
  • Accountaffirm.com
  • Accountaffirm.rar
  • Accountaffirm.pif
  • Beautifulgirl.pif
  • Beautifulgirl.rar
  • Beautifulgirl.com
  • Gameprogram.pif
  • Gameprogram.rar
  • Gameprogram.com
  • ImportantFile.doc.exe
  • ImportantFile.rar
  • ImportantFile.pif
  • ImportantMend.doc.exe
  • ImportantMend.rar
  • ImportantMend.pif
  • MicrosoftVisualStudio_BuG.exe
  • MicrosoftVisualStudio_BuG.rar
  • WINDOWSUPDATE.com

 

Finalmente el gusano se copia a sí mismo en la carpeta del sistema generando ejecutables con el nombre de las carpetas y archivos siguientes:

  • %windir%\[NOMBRE_CARPETA]\[NOMBRE_ARCHIVO].exe

Nota:

- %windir% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

[NOMBRE_CARPETA]:

  • system
  • web
  • fonts
  • temp
  • help

[NOMBRE_ARCHIVO]:

  • winlogon.exe
  • csrss.exe
  • taskmgr.exe
  • lsass.exe
  • smss.exe
  • svchost.exe
  • internat.exe
  • spoolsv.exe
  • kav.exe
  • conime.exe

También el gusano se copia a sí mismo en las unidades extraíbles generando ejecutables con el nombre de las carpetas existentes en la unidad extraíble:

  • [UNIDAD]:\[NOMBRE_CARPETA]\[NOMBRE_CARPETA].exe

 

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú