SoloCodigo

Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta: 27-10-2008
Última Actualización: 28-10-2008
Daño: Alto
[Explicación de los criterios]
Dispersibilidad:   Alto
Nombre completo: Worm.W32/Slogod.AT@US    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraíbles).
Alias:VBS/Slogod.AT (Computer Associates), W32/Autorun.worm.dx (McAfee), W32.SillyDC (Symantec), VBS_SMALL.I (Trend Micro)
Detalles

Método de Infección

Cuando se ejecuta por primera vez, Slogod.AT deja una copia de sí mismo en:

    * %System%cradle_of_filthe.vbe

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).

También añade las siguientes entradas en el registro de Windows para ejecutarse automáticamente en el inicio del sistema:

Clave: HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

Valor: Userinit = "%System%userinit.exe,%System%wscript.exe,
%System%cradle_of_filthe.vbe"

Slogod.AT comprueba la existencia del fichero:

    * %System%twunk32.txt

...para saber si el equipo ya ha sido infectado.

Efectos

1.- Muestra un fichero de texto

Slogod.AT abre el bloc de notas de Windows y muestra el siguiente texto en francés:

    Il vous reste " & compteur & " demarrages a vivre

    Notre Gates, qui est a Seattle,
    Que ton Windows soit débogué,
    Que ton monopole s'impose,
    Que tes commandes soient exécutées,
    Sur le web comme sur le disque dur.
    Donnes nous aujourd'hui
    Nos mises à jour quotidiennes
    Et pardonne-nous nos utilisations de Linux,
    Comme nous pardonnons aussi
    A ceux qui ont utilisé des Mac.
    Et ne nous soumets pas au Dr Watson,
    Mais délivre nous du plantage
    Car c'est à toi qu'appartiennent,
    Le Copyright, les mégahertz et les capitaux
    Au moins jusqu'à l'an 2000
    Amen (..ne les $$$$$$)

2.- Modifica la configuración de Windows

Slogod.AT realiza numerosas modificaciones a la configuración del sistema de las maquina afectada. Los siguientes son los cambios realizados:

Para empezar deshabilita el Gestor de tareas y el Editor del Registro de Windows:

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

Valor: DisableTaskMgr = 1

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

Valor: DisableRegistryTools = 1

Deshabilita la reproducción automática, la unidad A: en Mi PC y el explorador de Windows:

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor: NoDriveAutoRun = 1

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor: NoDrive = 1

Deshabilita la reproducción automática en todos los dispositivos:

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor: NoDriveTypeAutoRun = 1

Deshabilita el Menu 'Archivo' de Mi PC y del explorador de Windows:

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor: NoFileMenu = 1

Elimina la solapa 'Hardware' de las secciones 'Mouse','Teclado' y 'Sonidos y Multimedia' del panel de control.

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor: NoHardwareTab = 1

Elimina la funcionalidad de almacenar los documentos recientemente modificados:

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor: NoRecentDocsHistory = 1

Elimina el menú "Documentos recientes" del menú de inicio:

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor: NoRecentDocsMenu = 1

Mantiene la papelera de reciclaje vacía:

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor: NoRecycleFiles = 1

Deshabilita la búsqueda exhaustiva en una unidad para buscar la fuente de un enlace:

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor: NoResolveSearch = 1

Elimina el botón 'Buscar' de la barra de tareas estándar en el explorador de Windows y los programas que usan la ventana del explorador de Windows (Tales como 'Mi PC' o 'Mis sitios de red'):

Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor: NoShellSearchButton = 1

Cierra la linea de comandos antes de que pueda ejecutar cualquier fichero:

Clave: HKLMSoftwareMicrosoftCommandProcessor

Valor: AutoRun = exit

Deshabilita la restauración del sistema:

Clave: HKLMSOFTWAREPoliciesMicrosoftWindowsNTSystemRestore

Valor: DisableSR = 1

Oculta las extensiones de los ficheros en el explorador de Windows:

Clave: HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced
FolderHideFileExt

Valor: UncheckedValue = 1

Deshabilita el uso de extensiones en la línea de comandos:

Clave: HKLMSOFTWAREMicrosoftCommandProcessor

Valor: EnableExtensions = 0

Deshabilita la precisión del puntero de Windows:

Clave: HKCUControlPanelMouse

Valor: DoubleClickSpeed = 4000

Clave: HKCUControlPanelMouse

Valor: MouseSpeed = 10

Si el gusano descubre la existencia de la unidad A: (ya sea una unidad fija o extraíble), realiza las siguientes acciones:

    * Elimina la siguiente clave del registro de windows:

      Clave: HKLMSoftwareMicrosoftWindowsCurrentVersionRunMS32DLL

    *

      Realiza los siguientes cambios en el sistema:

      Deshabilita el uso de la funcionalidad arrastrar-y-soltar del ratón para la ordenación o eliminación de elementos, y elimina los menús de contexto del menú de inicio:

      Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

      Valor: NoChangeStartMenu = 1

      Elimina el botón de parada del menú de inicio y deshabilita el boton de apagado en la ventana de diálogo de Seguridad de Windows:

      Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

      Valor: NoClose = 1

      Elimina los iconos de "Mis sitios de red" y "Computadoras en mi zona" de la ventana de mapeo de unidades de red:

      Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

      Valor: NoComputersNearMe = 1

      Deshabilita el uso de iconos, accesos rápidos y otros elementos de usuario del escritorio de Windows:

      Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

      Valor: NoDesktop = 1

Método de Propagación

Slogod.AT se copia a sí mismo como "cradle_of_filthe.vbe" en todas las unidades extraíbles (excepto A:) conectadas al sistema en el momento de ejecución. Además, crea o sobreescribe el fichero "autorun.inf" insertando codigo que automáticamente ejecuta el ejecutable del gusano.

Otros Detalles

El gusano instala un salvapantallas válido, sin ningún tipo de rutina maliciosa, creando para ello el fichero "scrnsave.scr".