| Nombre común: RenameLoi.A
Nombre técnico: W32/RenameLoi.A.worm
Peligrosidad: Media
Tipo: Gusano
Efectos: Realiza varias modificaciones en el Registro de Windows, que imposibilitan que el ordenador funcione con total normalidad. Puede modificar archivos protegidos de Windows, lo que podría ocasionar problemas con el sistema operativo. Se propaga a través de unidades locales, extraíbles y mapeadas.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 28/03/2008
Detección actualizada: 28/03/2008
Estadísticas No
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
RenameLoi.A es un gusano que realiza varias modificaciones en el Registro de Windows, lo que imposibilita que el ordenador funcione con total normalidad.
Estas modificaciones impiden al usuario realizar las siguientes acciones, entre otras:
Visualizar los procesos que están en ejecución a través del Administrador de Tareas.
Modificar la configuración de las características de las carpetas.
Además, modifica la página de inicio y de búsqueda de Internet Explorer.
Por otra parte, deshabilita la Protección de ficheros de Windows (WFP). Esto implica que los archivos protegidos de Windows pueden ser modificados, lo que podría ocasionar problemas con el sistema operativo y los programas instalados.
RenameLoi.A se propaga a través de unidades locales, extraíbles y mapeadas, realizando copias de sí mismo en ellas.
Efectos
RenameLoi.A realiza las siguientes acciones:
Cuando es ejecutado, si el usuario abre el navegador Internet Explorer, muestra la siguiente página mientras suena un sonido similar a un pitido:
Esta página también se muestra:
- cada vez que se reinicia el ordenador.
- como página de inicio y de búsqueda de Internet Explorer.
Además, mientras el ordenador está reiniciando, muestra el siguiente mensaje en lugar del mensaje de Windows:
Modifica las características de las propiedades de sistema:
Modifica la apariencia de la consola de comandos. Así, cuando el usuario accede a ella, tiene el siguiente aspecto:
Además, realiza numerosas modificaciones en el Registro de Windows del ordenador afectado, que tienen las siguientes consecuencias:
Deshabilita los siguientes elementos:
- Editor del Registro de Windows.
- Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
- Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.
Deshabilita la Protección de ficheros de Windows (WFP), que evita que se reemplacen los archivos de sistema esenciales de Windows. Los programas no deben sobrescribir estos archivos porque el sistema operativo y otros programas los utilizan.
Al deshabilitar esta característica, los archivos protegidos de Windows podrían ser modificados, lo que podría ocasionar problemas con el sistema operativo y los programas instalados.
Utiliza diversas técnicas para dificultar su detección:
- Oculta los archivos y carpetas con atributo oculto.
- Oculta los archivos del sistema operativo.
Metodo de Infección
RenameLoi.A crea los siguientes archivos:
SHELL.EXE y VXDS.EXE, en el directorio de Windows.
HLPS.EXE, en la subcarpeta Help del directorio de Windows.
WMA.EXE, en la subcarpeta Media del directorio de Windows.
SYS.EXE, en el directorio de sistema de Windows.
Estos archivos son copias del gusano.
OEMINFO.INI y OEMLOGO.BMP, en el directorio de sistema de Windows. Utiliza estos archivos para modificar las propiedades del sistema.
BLANK.HTM, en el directorio de sistema de Windows y WINDOWS XP RINGIN.WAV, en la subcarpeta Media del directorio de Windows. Estos archivos corresponden a la página web que muestra el gusano y al sonido que se escucha.
Además, crea un archivo AUTORUN.INF en todas las unidades del sistema. De esta manera, cada vez que se acceda a alguna de ellas, se ejecuta una copia de sí mismo.
RenameLoi.A crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
vxds = %windir%\vxds.exe
donde %windir% es el directorio de Windows.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
hlps = %windir%\Help\hlps.exe
Mediante estas entradas, RenameLoi.A consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
blank = %sysdir%\blank.htm
donde %sysdir% es el directorio de sistema Windows.
Se muestra la página web mencionada en el apartado anterior cada vez que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableRegistryTools = 01, 00, 00, 00
Deshabilita el Editor del Registro de Windows.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
DisableTaskMgr = 01, 00, 00, 00
Deshabilita el Administrador de Tareas.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoFolderOptions = 1
No muestra la opción Opciones de Carpeta en el Explorador de Windows.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
NoDriveAutoRun = 1
Impide que se ejecuten automáticamente los dispositivos insertados en las unidades del sistema.
HKEY_CURRENT_USER\ Software\ Microsoft\ Command Processor
AutoRun = dir /s *.exe && TITLE [Day of judgment] && COLOR AC && CLS && ECHO [Antichrist]
Modifica el contenido de la consola de comandos.
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Window Title = Microsoft Internet Explorer [Day of judgment]
Modifica el título de ventana de Internet Explorer.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
LogonPrompt = [Day of judgment]
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Welcome = [Antichrist]
Mediante estas entradas, se muestra una imagen con el título de ventana [Antichrist] y el mensaje [Day of judgment] cuando se está iniciando el ordenador.
RenameLoi.A modifica las siguientes entradas del Registro de Windows:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows
Load
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Windows
Load = %windir%\media\wma.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Shell = Explorer.exe
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Shell = explorer.exe shell.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Userinit = %sysdir%\userinit.exe,
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Userinit = userinit.exe,sys.exe
Mediante estas modificaciones, RenameLoi.A consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Page
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Page = %sysdir%\blank.htm
Modifica la página de búsqueda de Internet Explorer.
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = %sysdir%\blank.htm
Modifica la página de inicio de Internet Explorer.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
SFCDisable = 00, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
SFCDisable = -99
Mediante esta modificación, deshabilita la protección de archivos de Windows.
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
RegisteredOrganization
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
RegisteredOrganization = [Antichrist]
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
RegisteredOwner
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion
RegisteredOwner = [Antichrist]
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
LegalNoticeCaption
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
LegalNoticeCaption = [Antichrist]
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
LegalNoticeText
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
LegalNoticeText = [Day of judgment]
Estas modificaciones cambian la información de las propiedades de sistema del ordenador afectado.
Además, modifica estas entradas del Registro de Windows para ocultar su presencia y dificultar su detección:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 00, 00, 00, 00
Oculta los archivos y carpetas con atributo de oculto.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
ShowSuperHidden = 01, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
ShowSuperHidden = 00, 00, 00, 00
Oculta los archivos del sistema operativo.
Método de Propagación
RenameLoi.A se propaga a través de unidades locales, extraíbles y mapeadas, realizando copias de sí mismo en ellas.
Otros Detalles
RenameLoi.A tiene un tamaño de 73216 Bytes.
|
|
