| Nombre común: DirDel.A
Nombre técnico: W32/DirDel.A.worm
Peligrosidad: Media
Tipo: Gusano
Efectos: Sustituye progresivamente las carpetas de los diferentes directorios por una copia de sí mismo y elimina las carpetas y archivos que estén dentro de las carpetas afectadas. Se propaga realizando copias de sí mismo en las unidades mapeadas, compartidas y extraíbles.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 29/01/2009
Detección actualizada: 03/02/2009
Estadísticas No
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Brief Description
DirDel.A es un gusano diseñado para sustituir progresivamente las carpetas de los diferentes directorios del ordenador afectado por una copia de sí mismo con el mismo nombre que las carpetas que haya en dicho directorio. De esta manera, si el usuario vuelve a ejecutar cualquiera de estas carpetas, estará ejecutando a DirDel.A.
Además, elimina las carpetas y archivos que estén dentro de las carpetas reemplazadas, con la consiguiente pérdida de información para el usuario.
Mediante esta técnica, DirDel.A consigue extenderse por el ordenador afectado.
DirDel.A se propaga a través de unidades mapeadas, compartidas y extraíbles realizando copias de sí mismo en ellas.
Efectos
DirDel.A realiza las siguientes acciones:
Llega al ordenador en un archivo llamado VENDETTA.EXE y tiene el icono de una carpeta de Windows para engañar a los usuarios:
Cuando es ejecutado, sustituye progresivamente las carpetas de los diferentes directorios del ordenador afectado por una copia de sí mismo con el mismo nombre que las carpetas que haya en dicho directorio.
De esta manera, si el usuario vuelve a ejecutar cualquiera de estas carpetas, estará ejecutando a DirDel.A.
Elimina las carpetas y archivos que están dentro de las carpetas reemplazadas. Como consecuencia de ello, el usuario afectado perdería toda la información de dichas carpetas.
Las siguientes imágenes representan las acciones llevadas a cabo por el gusano en una unidad mapeada:
En la primera imagen se puede ver la unidad mapeada antes de la infección:
En la segunda imagen se puede observar cómo el gusano ha sustituido todas las carpetas por una copia de sí mismo conservando el nombre de las carpetas originales:
Además, al tratarse de una unidad mapeada, crea también un archivo AUTORUN.INF, una copia de sí mismo con el nombre VENDETTA.EXE y un archivo llamado VENDETTA.LOG, que muestra un mensaje cuando el usuario intenta acceder a alguna de estas carpetas.
El mensaje que muestra contiene el siguiente texto:
Cuando te castigan, tienes que castigar del mismo modo a quienes te castigaron.
Vendetta by C0sm0o0si$ & Falkore
Metodo de Infección
DirDel.A crea los siguientes archivos:
WINLOGON.EXE, en la carpeta $ntuninstallkbt8723182$, creada por él mismo, del directorio Archivos de Programa. Este archivo es una copia del gusano.
VENDETTA.EXE, VENDETTA.LOG y AUTORUN.INF, en las unidades mapeadas, compartidas y extraíbles.
- VENDETTA.EXE es una copia de sí mismo.
- VENDETTA.LOG muestra un mensaje cada vez que se accede a las carpetas ubicadas en dichas unidades.
- AUTORUN.INF, que permite que se ejecute la copia del gusano cada vez que se accede a alguna de estas unidades.
Estos tres archivos tienen atributo de oculto.
Además, crea una carpeta denominada Sistema en el directorio de Windows.
DirDel.A modifica la siguiente entrada en el Registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = %sysdir%\userinit.exe,
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = %sysdir%\userinit.exe,c:\program files\$ntuninstallkbt8723182$\winlogon.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta modificación, DirDel.A consigue ejecutarse cada vez que Windows se inicia.
Método de Propagación
DirDel.A se propaga a través de unidades mapeadas, compartidas y extraíbles. Para ello, crea copias de sí mismo en dichas unidades con el nombre VENDETTA.EXE.
Además, crea un archivo AUTORUN.INF en dichas unidades para conseguir que se ejecute el gusano cada vez que se acceda a alguna de ellas y el archivo VENDETTA.LOG que muestra un mensaje cada vez que el usuario intenta acceder a alguna carpeta ubicada en dichas unidades.
Otros Detalles
DirDel.A está escrito en el lenguaje de programación Visual Basic v5. Este gusano tiene un tamaño de 43008 Bytes y está comprimido mediante UPX.
|
|
