• Domingo 22 de Diciembre de 2024, 14:08

Autor Tema:  Samal  (Leído 2120 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Samal
« en: Miércoles 14 de Enero de 2009, 18:04 »
0
Información extraida de Alerta Antivirus

Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:14-01-2009
Última Actualización:14-01-2009
Daño: Alto
[Explicación de los criterios]
Dispersibilidad:   Alto
Nombre completo: Worm.W32/Samal@DE    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [DE] - Se propaga a dispositivos extraíbles insertados o conectados en/al equipo afectado.
Alias:Salma.A (Panda Security)
Detalles
Método de Infección/Efectos

El gusano se copia a sí mismo creando los siguiente ficheros:

    * %System%SMMS.EXE
    * %System%infCSRSS.EXE
    * %System%infDISKINI.XP

Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).

Crea los siguiente archivos:

    * %System%SMMS.BAT
    * %ProgramFiles%emuleincoming[TRAFFIK]CRACK FOR WINDOWS.SIK

Nota: %ProgramFiles% es una variable que hace referencia al directorio de instalación por defecto de aplicaciones en sistemas Windows.
Por defecto es C:Archivos de Programa (Windows98/Me/2000/XP). También puede ser C:Program Files (Windows NT) y en instalaciones de Windows en inglés.

El segundo archivo, es el que atestigua que el ordenador está infectado por el gusano, y tiene el siguiente contenido:

Samael 3.0
%hora del sistema%
%fecha del sistema%
EN  

Crea el archivo AUTORUN.INF en todas las unidades del sistema para conseguir ejecutar automáticamente las copias del gusano cada vez que se acceda a alguna de ellas.

Samal modifica el archivo NTLDR del directorio raíz de la unidad C:. De esta manera, consigue que se muestren los mensajes mencionados previamente cuando se inicia el ordenador.

Crean las siguiente entrada de registro para ejecutarse automáticamente en cada reinicio del sistema:

Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Valor: Proyecto1 = %windir%smms.exe

Crea las siguientes entradas del registro como parte de su rutina de instalación

Clave: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorer
UserAssist{75048700-EF1F-11D0-9888-006097DEACF9}Count
Valor: HRZR_EHACNGU
Valor: HRZR_EHACNGU:CRGbbyf.yax
Valor: HRZR_EHACNGU:P:Cebtenz SvyrfVaPgey5VaPgey5.rkr
Valor: HRZR_EHACNGU:VaPgey5.yax
Valor: HRZR_HVFPHG

En el siguiente reinicio del ordenador, antes de que el equipo se inicie aparecerá el siguiente mensaje:
"AH AH YOU DIN'T SAY THE MAGIC WORD:"

Traducido al castellano esta frase significa: "Ah ah no has dicho la palabra mágica"

Esta es una imagen del texto mostrado en pantalla:

Después de intentar introducir cualquier palabra 3 veces, mostrará el siguiente mensaje en inglés:
"Samael has come. This is the end."

Que traducido al castella significa: "Samael ha llegado. Es el fin"

Esta es una imagen del mensaje que se muestra

Después de los mensajes el ordenador no podrá reiniciarse. Y si se inicia de nuevo el ordenador, volverá a salir el primer mensaje.

Si la fecha de ordenador es distinta a 2009, no se mostrará ningún mensaje, pero el ordenador estará reiniciándose continuamente.
Método de Propagación

Se propaga realizando copias de sí mismo en todas las unidades del sistema. El nombre con el que se copia es INFO.EXE, y crea también un archivo AUTORUN.INF en todas las unidades para que la copia del gusano se ejecute automáticamente cada vez que se acceda a alguna de ellas.
El pasado son solo recuerdos, el futuro son solo sueños

m0skit0

  • Miembro de PLATA
  • *****
  • Mensajes: 2337
  • Nacionalidad: ma
    • Ver Perfil
    • http://fr33kk0mpu73r.blogspot.com/
Re: Samal
« Respuesta #1 en: Jueves 15 de Enero de 2009, 17:04 »
0
Cita de: "Edo"
En el siguiente reinicio del ordenador, antes de que el equipo se inicie aparecerá el siguiente mensaje:
"AH AH YOU DIN'T SAY THE MAGIC WORD:"

Traducido al castellano esta frase significa: "Ah ah no has dicho la palabra mágica"
Sacado de a primera película de la serie "Jurassic Park" (Parque Jurásico) de Steven Spielberg.  ^_^

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Re: Samal
« Respuesta #2 en: Jueves 15 de Enero de 2009, 20:06 »
0
Cita de: "m0skit0"
Cita de: "Edo"
En el siguiente reinicio del ordenador, antes de que el equipo se inicie aparecerá el siguiente mensaje:
"AH AH YOU DIN'T SAY THE MAGIC WORD:"

Traducido al castellano esta frase significa: "Ah ah no has dicho la palabra mágica"
Sacado de a primera película de la serie "Jurassic Park" (Parque Jurásico) de Steven Spielberg.  ^_^
Aja, el gordito en traje porno.
El pasado son solo recuerdos, el futuro son solo sueños