- [UNIDAD]:\reproduce.txt
- [UNIDAD]:\svchost.exe
| W32/Sillyban.A |
|
| Nombre: |
W32/Sillyban.A Alias: W32.Sillyban.A |
| Tipo: | Gusano |
| Tamaño: | 1,148 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.2 al 19/10/2007 |
Descripción:
W32/Sillyban.A, gusano que al ejecutarse crea los siguientes archivos:
Nota:
- %systemdrive% representa la carpeta de instalación de Windows (Ej. C:\).
- %temp% representa la carpeta temporal del Usuario (Ej. C:\DOCUMENTS AND SETTINGS\USUARIO\CONFIGURACION LOCAL\TEMP).
- %userprofile% representa la carpeta del Usuario (Ej. C:\DOCUMENTS AND SETTINGS\USUARIO).
Luego el gusano crea las siguientes entradas de registro para lograr ejecutarse en cada inicio de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
"status" = "present"
"winlogon" = "%SystemDrive%\heap41\svchost.exe
C:\heap41\std.txt"
El gusano modifica la siguiente entrada de registro que deshabilita la opción
de ver todos los archivos con el Explorador de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" = "0"
Luego el gusano se copia en todas las unidades extraíbles como el siguiente archivo:
También copia el siguiente archivo en todas las unidades extraíbles para lograr ejecutarse cada vez que se acceda a la unidad:
El gusano busca ventanas de Windows con las siguientes "PALABRAS" en el título:
Para mostrar un mensaje de alerta de acuerdo a la palabra encontrada:
Message:
"[PALABRA] is BANNED you fool, The adminstrators
didn't write this program guess who did??"
Message:
"USE INTERNET EXPLORER YOU DOPE, I DNT HATE
MOZILLA BUT USE IE OR ELSE..."
Finalmente el gusano cierra las ventanas activas de Windows y
reproduce el siguiente archivo de sonido:
Nota:
- %systemdrive% representa la carpeta de instalación de Windows (Ej. C:\).
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú