W32/Romario.A

Descripción:

W32/Romario.A, es un gusano que se difunde a través de unidades removibles, recursos compartidos y envió masivo de correos, envía una copia de si mismo a todos las direcciones de correo que encuentre en la Bandeja de Entrada, El archivo del gusano simula ser una copia del juego Super Mario Bross.

Cuando el gusano se ejecuta se copia a si mismo como:

• [Unidad_Raiz:]\Mario.exe
• [Unidad_Raiz:]\explorer.exe
• %windows%\xplorer.exe
• %windows%\winlogon.exe
• %system%\PANGKALP1NANG.EXE
• %system%\SMUNSA_PKP_GAME.EXE
• %system%\msvbvm60.dll.exe
• %Documents and Settings%\All Users\Documents\Bola Pantul.exe
• %Documents and Settings%\All Users\Documents\FreeCard.exe
• %Documents and Settings%\All Users\Documents\MyHearts.exe
• %Documents and Settings%\[usuario]\Application Data\Alisa.exe
• %Documents and Settings%\[usuario]\Application Data\Emma.exe
• %Documents and Settings%\[usuario]\My Documents\Mario Bross.exe
• %Documents and Settings%\[usuario]\My Documents\Minesweeper.exe
• %Documents and Settings%\[usuario]\My Documents\Solitaire Card.exe

También copia y ejecuta una copia legitima del juego Super Mario, de esta manera intenta engañar al usuario

• C:\program files\mario.exe

Además crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"SmansaApp"="%windows%\winlogon.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"[Nombre_Aleatorio]"="%windows%\winlogon.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

"Shell"= explorer.exe "[unidad_raiz]:\explorer.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

"Userinit"=%system%\userinit.exe, [Unidad_Raiz:]\explorer.exe

También modifica las siguientes entradas en el registro para poder ejecutarse cada vez que un archivo de extensión .bat, .com, .lnk, .mov, .mpeg, .pif, .scr y .vbs es ejecutado.

HKEY_CLASSES_ROOT\batfile\shell\open\command

"[predeterminado]"="C:\explorer.exe" "%1" %*

HKEY_CLASSES_ROOT\comfile\shell\open\command

"[predeterminado]"="C:\explorer.exe" "%1" %*

HKEY_CLASSES_ROOT\lnkfile\shell\open\command

"[predeterminado]"="C:\explorer.exe" "%1" %*

HKEY_CLASSES_ROOT\movfile\shell\open\command

"[predeterminado]"="C:\explorer.exe" "%1" %*

HKEY_CLASSES_ROOT\MPEG File\shell\open\command

"[predeterminado]"="C:\explorer.exe" "%1" %*

HKEY_CLASSES_ROOT\piffile\shell\open\command

"[predeterminado]"="C:\explorer.exe" "%1" %*

HKEY_CLASSES_ROOT\scrfile\shell\open\command

"[predeterminado]"="C:\explorer.exe" "%1" %*

HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command

"[predeterminado]"="C:\explorer.exe" "%1" %*

Cambia la página de inicio del Internet Explorer:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

"Start Page"="http://en.wikipedia.org/wiki/Front_Mission_3"

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

"Start Page"="http://en.wikipedia.org/wiki/Front_Mission_3"

Además cambia las siguientes configuraciones del sistema:

• HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore\"DisableConfig" = "1"
• HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\SystemRestore\"DisableSR" = "1"
• HKEY_LOCAL_MACHINE\Software\SYSTEM\CurrentControlSet\Control\SafeBoot\"Alternate Shell"="C:\explorer.exe"

Finalmente crea una carpeta de nombre "GAME" dentro de la unidad removible que encuentre y crea una copia de si mismo con los siguientes nombres de archivos.

• [Unidad]:\GAME\Bola.exe
• [Unidad]:\GAME\Crazy Mouse.exe
• [Unidad]:\GAME\Dark Screen.exe
• [Unidad]:\GAME\Goncang.exe
• [Unidad]:\GAME\Kartu.exe
• [Unidad]:\GAME\Kelap Kelip.exe
• [Unidad]:\GAME\Layar Jatuh.exe
• [Unidad]:\GAME\Legend.exe
• [Unidad]:\GAME\Minesweeper.exe
• [Unidad]:\GAME\My Heart.exe
• [Unidad]:\GAME\Pink Panther.exe
• [Unidad]:\GAME\Smart.exe
• [Unidad]:\GAME\Start Hide.exe
• [Unidad]:\GAME\Text Animation.exe
• [Unidad]:\GAME\XP Button.exe

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú