Información extraida de
Alerta AntivirusDatos Técnicos
Peligrosidad: 3 - Media
Difusión: Baja
Fecha de Alta:19-01-2009
Última Actualización:20-01-2009
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm.W32/Sadra@US
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraíbles).
Alias:Win32/Sadra.A (Computer Associates), Trojan.Win32.Agent.avqc (Kaspersky)
Detalles
Método de Infección/Efectos
Cuando es ejecutado por primera vez, Win32/Sadra crea las siguientes entradas en el registro de Windows para permitir ser ejecutado en cada inicio del sistema:
Clave:HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Valor:Sandra Dewi Bugil = "C:WindowsSandra Dewi Bugil.exe"
El gusano se copia a sí mismo en las siguientes rutas:
* C:Sandra Dewi Bugil.exe
* C:WindowsSandra Dewi Bugil.exe
* C:WindowsSystem32Sandra Dewi Bugil.exe
* C:Documents and Settings%usuario%Start MenuProgramsStartupSandra Dewi Bugil.exe
Nota: Si en el sistema no existieran los directorios C:WindowsSystem32 o C:Documents and Settings%usuario%Start MenuProgramsStartup el copiado de ficheros fallaría.
El gusano realiza las siguientes modificaciones al sistema:
Clave:HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon
Valor:LegalNoticeCaption = "Cinta Ditolak VIRUS Bertindak.::CREATION BUDI DARMA::."
Clave:HKLMSoftwareMicrosoftWindowsNTCurrentVersionWinlogon
Valor:LegalNoticeText = "Sangat sakit rasanya apabila cinta kita ditolak oleh
seseorang, pada zaman dahulu orang menggunakan fasilitas dukun sebagai media untuk
mendapatkan cintanya. Seiring dengan berkembangnya Teknokogi Informasi media yang
digunakan untuk mendapatkan cintanya adalah VIRUS"
El gusano cambia el texto de Internet Explorer:
Imagen del Internet Explorer tras la ejecución del gusano
...con la siguiente entrada del registro:
Clave:HKCUSoftwareMicrosoftInternet ExplorerMain
Valor:Window Title = "::CREATION::BUDI::DARMA::"
Cambia el dueño del sistema a "Dewi Bugil" y la organización a "Sandra" con las siguiente entradas del registro:
Clave:HKLMSOFTWAREMicrosoftWindows NTCurrentVersion
Valor:RegisteredOwner = "Dewi Bugil"
Valor:RegisteredOrganization = "Sandra"
Deshabilita el intérprete de comandos, el editor del registro, el administrador de tareas y la utilidad de configuración del sistema de Microsoft:
Clave:HKCUSoftwarePoliciesMicrosoftWindowssystem
Valor:DisableCMD = 1
Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
Valor:DisableRegistryTools = 1
Valor:DisableTaskMgr = 1
Valor:DisableMsConfig = 1
Elimina los iconos "Ejecutar", "Buscar", "Panel de control", "Programas" y "Cerrar Sesion" como se muestra a continuación:
Imagen de como queda el menu de inicio
Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Valor:NoRun = 1
Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Valor:NoFind = 1
Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Valor:NoControlPanel = 1
Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Valor:NoStartMenuMorePrograms = 1
Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Valor:StartMenuLogoff = 1
Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Valor:NoClose = 1
Elimina las opciones de carpeta de los menús del explorador de Windows y el panel de control:
Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Valor:NoFolderOptions = 1
Deshabilita la posibilidad de ver los contenidos de las unidades de Mi PC:
Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Valor:NoViewOnDrive = 1
Elimina el acceso a los enlaces simbólicos en el explorador de Windows y el escritorio:
Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
Valor:NoViewContextMenu = 1
Muestra los ficheros y carpetas ocultos:
Clave:HKCUSoftwareMicrosoftWindowsCurrentVersionAdvanced
Valor:Hidden = 1
Efectos
Win32/Sadra muestra una serie de cuadros de diálogo por pantalla, comenzando por el siguiente:
Imagen inicial
Si el usuario pulsa los botones "Keluar" o "Exit" , el gusano muestra un aviso que pide al usuario que se envien comentarios a la dirección de correo: ???9989@yahoo.com
Si, en esta ventana, el usuario pulsa el boton "Ok" el gusano comienza un reinicio del sistema en 60 segundos y muestra un mensaje como el siguiente, que básicamente dice "Pobre de ti.".
Ventana de dialogo
Tras el reinicio del sistema Win32/Sadra muestra un nuevo mensaje en indonesio.
Método de Propagación
Win32/Sadra se copia a sí mismo en todas las unidades tanto fijas como extraíbles disponibles en el sistema. De esta manera, intenta dejar una copia de ejecutable del gusano en cada unidad que encuentra, junto con un fichero "autorun.inf" que automáticamente ejecuta el gusano cuando esa unidad es accedida.
