• Domingo 22 de Diciembre de 2024, 14:44

Autor Tema:  Sadra  (Leído 1861 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Sadra
« en: Martes 20 de Enero de 2009, 16:35 »
0
Información extraida de Alerta Antivirus
Datos Técnicos
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:19-01-2009
Última Actualización:20-01-2009
Daño: Alto
[Explicación de los criterios]
Dispersibilidad:   Alto
Nombre completo: Worm.W32/Sadra@US    
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraíbles).
Alias:Win32/Sadra.A (Computer Associates), Trojan.Win32.Agent.avqc (Kaspersky)
Detalles

Método de Infección/Efectos

Cuando es ejecutado por primera vez, Win32/Sadra crea las siguientes entradas en el registro de Windows para permitir ser ejecutado en cada inicio del sistema:

Clave:HKLMSoftwareMicrosoftWindowsCurrentVersionRun

Valor:Sandra Dewi Bugil = "C:WindowsSandra Dewi Bugil.exe"

El gusano se copia a sí mismo en las siguientes rutas:

    * C:Sandra Dewi Bugil.exe
    * C:WindowsSandra Dewi Bugil.exe
    * C:WindowsSystem32Sandra Dewi Bugil.exe
    * C:Documents and Settings%usuario%Start MenuProgramsStartupSandra Dewi Bugil.exe

Nota: Si en el sistema no existieran los directorios C:WindowsSystem32 o C:Documents and Settings%usuario%Start MenuProgramsStartup el copiado de ficheros fallaría.

El gusano realiza las siguientes modificaciones al sistema:

Clave:HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon

Valor:LegalNoticeCaption = "Cinta Ditolak VIRUS Bertindak.::CREATION BUDI DARMA::."

Clave:HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon

Valor:LegalNoticeText = "Sangat sakit rasanya apabila cinta kita ditolak oleh

seseorang, pada zaman dahulu orang menggunakan fasilitas dukun sebagai media untuk

mendapatkan cintanya. Seiring dengan berkembangnya Teknokogi Informasi media yang  

digunakan untuk mendapatkan cintanya adalah VIRUS"

El gusano cambia el texto de Internet Explorer:

Imagen del Internet Explorer tras la ejecución del gusano

...con la siguiente entrada del registro:

Clave:HKCUSoftwareMicrosoftInternet ExplorerMain
Valor:Window Title = "::CREATION::BUDI::DARMA::"

Cambia el dueño del sistema a "Dewi Bugil" y la organización a "Sandra" con las siguiente entradas del registro:

Clave:HKLMSOFTWAREMicrosoftWindows NTCurrentVersion

Valor:RegisteredOwner = "Dewi Bugil"

Valor:RegisteredOrganization = "Sandra"

Deshabilita el intérprete de comandos, el editor del registro, el administrador de tareas y la utilidad de configuración del sistema de Microsoft:

Clave:HKCUSoftwarePoliciesMicrosoftWindowssystem

Valor:DisableCMD = 1

Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

Valor:DisableRegistryTools = 1

Valor:DisableTaskMgr = 1

Valor:DisableMsConfig = 1

Elimina los iconos "Ejecutar", "Buscar", "Panel de control", "Programas" y "Cerrar Sesion" como se muestra a continuación:

Imagen de como queda el menu de inicio

Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor:NoRun = 1

Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor:NoFind = 1

Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor:NoControlPanel = 1

Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor:NoStartMenuMorePrograms = 1

Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor:StartMenuLogoff = 1

Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor:NoClose = 1

Elimina las opciones de carpeta de los menús del explorador de Windows y el panel de control:

Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor:NoFolderOptions = 1

Deshabilita la posibilidad de ver los contenidos de las unidades de Mi PC:

Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor:NoViewOnDrive = 1

Elimina el acceso a los enlaces simbólicos en el explorador de Windows y el escritorio:

Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Valor:NoViewContextMenu = 1

Muestra los ficheros y carpetas ocultos:

Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionAdvanced

Valor:Hidden = 1

Efectos

Win32/Sadra muestra una serie de cuadros de diálogo por pantalla, comenzando por el siguiente:

Imagen inicial

Si el usuario pulsa los botones "Keluar" o "Exit" , el gusano muestra un aviso que pide al usuario que se envien comentarios a la dirección de correo: ???9989@yahoo.com

Si, en esta ventana, el usuario pulsa el boton "Ok" el gusano comienza un reinicio del sistema en 60 segundos y muestra un mensaje como el siguiente, que básicamente dice "Pobre de ti.".

Ventana de dialogo

Tras el reinicio del sistema Win32/Sadra muestra un nuevo mensaje en indonesio.

Método de Propagación

Win32/Sadra se copia a sí mismo en todas las unidades tanto fijas como extraíbles disponibles en el sistema. De esta manera, intenta dejar una copia de ejecutable del gusano en cada unidad que encuentra, junto con un fichero "autorun.inf" que automáticamente ejecuta el gusano cuando esa unidad es accedida.
El pasado son solo recuerdos, el futuro son solo sueños