Samal.A - W32/Samal.A.worm
| Nombre común: Samal.A
Nombre técnico: W32/Samal.A.worm
Peligrosidad: Media
Tipo: Gusano
Efectos: Está diseñado para realizar acciones maliciosas únicamente el 1 de enero de 2009, entre ellas, impedir que el ordenador pueda iniciarse correctamente. Se propaga realizando copias de sí mismo en todas las unidades del sistema.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 06/01/2009
Detección actualizada: 12/01/2009
Estadísticas No
Descripción Breve
Samal.A es un gusano diseñado para realizar acciones maliciosas únicamente el 1 de enero de 2009, entre ellas, impedir que el ordenador pueda iniciarse correctamente.
Samal.A se propaga realizando copias de sí mismo en todas las unidades del sistema.
Efectos
Samal.A es un gusano diseñado para activarse y realizar las siguientes acciones maliciosas únicamente el 1 de enero de 2009:
Antes de que el ordenador llegue a iniciarse, muestra el siguiente mensaje en pantalla:
en el que se puede leer: "Ah ah no has dicho la palabra mágica"
Después de introducir tres veces algún valor, muestra otro mensaje en pantalla:
en el que se puede leer: "Samael ha llegado. Es el fin"
Este mensaje se queda en pantalla y el ordenador no puede iniciarse.
Si el usuario reinicia el ordenador, volverán a mostrarse los mismos mensajes y el ordenador tampoco podrá iniciarse.
Metodo de Infección
Samal.A crea los siguientes archivos:
SMMS.EXE, en el directorio de Windows.
CSRSS.EXE y DISKINI.XP, en la carpeta inf del directorio de Windows.
Estos tres archivos son copias de sí mismo.
SMMS.BAT, en el directorio de Windows.
[TRAFFIK]CRACK FOR WINDOWS.SIK, en la carpeta emule\incoming del directorio Archivos de Programa. Este archivo contiene el siguiente texto:
Samael 3.0
%hora del sistema%
%fecha del sistema%
EN
Este archivo lo crea como marca de infección para saber qué ordenadores están infectados con este gusano.
Además, crea un archivo AUTORUN.INF en todas las unidades del sistema para conseguir ejecutar automáticamente las copias del gusano cada vez que se acceda a alguna de ellas.
Por otra parte, Samal.A modifica el archivo NTLDR del directorio raíz de la unidad C:. De esta manera, consigue que se muestren los mensajes mencionados previamente cuando se inicia el ordenador.
Samal.A crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Proyecto1 = %windir%\smms.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, Samal.A consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
HRZR_EHACNGU
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
HRZR_EHACNGU:CRGbbyf.yax
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
HRZR_EHACNGU:P:\Cebtenz Svyrf\VaPgey5\VaPgey5.rkr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
HRZR_EHACNGU:VaPgey5.yax
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
HRZR_HVFPHG
Método de Propagación
Samal.A se propaga realizando copias de sí mismo en todas las unidades del sistema. El nombre con el que se copia es INFO.EXE, y crea también un archivo AUTORUN.INF en todas las unidades para que la copia del gusano se ejecute automáticamente cada vez que se acceda a alguna de ellas.
Otros Detalles
Samal.A está escrito en el lenguaje de programación Visual Basic v6. Este gusano tiene un tamaño de 139285 Bytes.
|
|
Enviado con fecha: 12-01-2009 17:00:42 - Visto: 2820 veces.
Información extraida de la Web de Panda Antivirus.
Foro Virus
|
|
