| Nombre común: Radulambu.C
Nombre técnico: W32/Radulambu.C.worm
Peligrosidad: Media
Tipo: Virus
SubTipo: Gusano
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 12/05/2008
Detección actualizada: 18/05/2008
Estadísticas Si
Descripción Breve
Radulambu.C es un gusano que llega al ordenador haciéndose pasar por una imagen. Cuando es ejecutado, abre el visor de imágenes de Windows para que el usuario no se de cuenta de que el archivo ejecutado era malicioso.
Además, realiza varias modificaciones en el Registro de Windows, que impiden al usuario realizar las siguientes acciones, entre otras:
Realizar búsquedas de manera rápida y directa, ya que deshabilita la opción Buscar del menú Inicio.
Restaurar el sistema para devolver el equipo a un estado de funcionamiento anterior.
Radulambu.C llega al ordenador haciéndose pasar por una imagen. Se propaga a través de unidades extraíbles, mapeadas y compartidas.
Síntomas Visibles
Radulambu.C es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia.
Sin embargo, el usuario podría reconocerlo si está navegando por Internet, ya que modifica el título de las ventanas de Internet Explorer por el siguiente texto:
++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++
Efectos
Radulambu.C realiza las siguientes acciones:
Llega al ordenador haciéndose pasar por una imagen. Cuando es ejecutado, abre el visor de imágenes de Windows para que el usuario no se de cuenta de que el archivo ejecutado era malicioso.
Modifica el título que aparece en las ventanas de Internet Explorer por el siguiente texto:
++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++
Deshabilita los siguientes elementos:
- Editor del Registro de Windows.
- Restauración de sistema, que sirve para devolver el equipo a un estado de funcionamiento anterior. Puede resultar muy útil para deshacer los cambios en el sistema y volver a un punto en el que el ordenador funcionaba correctamente.
- la opción Buscar del menú Inicio, que permite buscar archivos de una manera rápida y directa.
Utiliza diversas técnicas para dificultar su detección:
- Oculta las extensiones de los archivos.
- Oculta los archivos del sistema operativo.
Metodo de Infección
Radulambu.C crea numerosas copias de sí mismo en diferentes directorios del ordenador afectado. Algunos de los archivos que crea son los siguientes:
CSRSS.EXE, LSASS.EXE, PARAYSUTKI_VM_COMMUNITY, SERVICES.EXE, SMSS.EXE y WINLOGON.EXE, en la subcarpeta ~A~m~B~u~R~a~D~u~L~, creada por él mismo, del directorio de sistema de Windows.
FOTOKU %fecha de la infección%.EXE, FRIENDSTER COMMUNITY.EXE, J3MBATAN K4HAYAN.EXE y MYIMAGES.EXE, en el directorio raíz de la unidad C:.
KE.. TAUAN N90C0K.EXE y MA5TURBAS1 XL1M4XS.EXE, en la subcarpeta Images, creada por él mismo, en el directorio raíz de la unidad C:.
Además, crea un archivo AUTORUN.INF en la unidad C: y en las unidades mapeadas disponibles. De esta manera, cada vez que se accede a alguna de estas unidades, el gusano se ejecuta.
Radulambu.C crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
AVManager = %sysdir%\~A~m~B~u~R~a~D~u~L~\csrss.exe
donde %sysdir% es el directorio de sistema de Windows.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ConfigVir = %sysdir%\~A~m~B~u~R~a~D~u~L~\services.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
NarmonVirusAnti = %sysdir%\~A~m~B~u~R~a~D~u~L~\smss.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
NviDiaGT = %sysdir%\~A~m~B~u~R~a~D~u~L~\lsass.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
PaRaY_VM = %sysdir%\~A~m~B~u~R~a~D~u~L~\winlogon.exe
Mediante estas entradas, Radulambu.C consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 01, 00, 00, 00
Deshabilita el Editor del Registro de Windows.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFind = 1
No muestra la opción Buscar del menú Inicio.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows\ Installer
DisableMSI = 01, 00, 00, 00
Deshabilita el instalador de Windows (Windows Installer).
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows\ Installer
LimitSystemRestoreCheckpointing = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
DisableConfig = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
DisableSR = 01, 00, 00, 00
Deshabilita la restauración de sistema.
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Window Title = ++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++
Mediante esta entrada, Radulambu.C modifica el texto que aparece en el título de las ventanas de Internet Explorer.
Radulambu.C modifica estas entradas del Registro de Windows para ocultar su presencia y dificultar su detección:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 00, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
HideFileExt = 01, 00, 00, 00
Oculta las extensiones de los archivos.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
ShowSuperHidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
ShowSuperHidden = 00, 00, 00, 00
Oculta los archivos del sistema operativo.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
SuperHidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
SuperHidden = 00, 00, 00, 00
Método de Propagación
Radulambu.C llega al ordenador haciéndose pasar por una imagen:
Además, se propaga a través de unidades mapeadas, compartidas y extraíbles, realizando copias de sí mismo en ellas.
Otros Detalles
Radulambu.C tiene un tamaño de 131072 Bytes y está comprimido mediante UPX.
|
|
