11° Informe VirusAlerts(Gusanos/Troyanos)

A Jugar Mario Worm:

RogueMario.A es un gusano que, al ser ejecutado, muestra al usuario una versión muy básica del juego Super Mario bros. De esta manera, intenta ocultar las acciones maliciosas que está llevando a cabo en el ordenador.

"Pensemos en un usuario que recibe un correo con un archivo que, supuestamente, contiene el juego de Super Mario. Si al ejecutar ese archivo, en vez de un mensaje de error, accede de verdad a un juego, tendrá menos motivos para sospechar que ha sido infectado", explica Luis Corrrons, Director Técnico de ArceoLabs.

RogueMario.A modifica el entorno de usuario cambiando los formatos de moneda, país, nombre de usuario por defecto, etc...Además, cierra varios programas de monitorización como HijackThis - v1.99.1 o Multikiller2.

Crea varias claves en el registro del sistema para ejecutarse con cada reinicio de la máquina. Igualmente, modifica el registro de Windows para alterar el comportamiento y el aspecto del sistema. Además, crea una tarea programada para ejecutarse a una hora determinada todos los días.

Realiza varias copias de sí mismo en el ordenador infectado con nombres atractivos o poco sospechosos como Explorer.exe o Mario.exe. Para propagarse, se copia en todas las unidades extraíbles mapeadas con nombres como Legend.exe o Kartu.exe y también se envía como archivo adjunto en un mensaje de correo electrónico.

USBWorm.A es el segundo gusano del informe y se propaga a través de unidades extraíbles como las llaves de memoria USB. Para ello, copia en ellas dos archivos: autorun.inf y more.exe. El primer archivo se encargará de ejecutar el segundo, que realizará las acciones maliciosas, cada vez que una de esas unidades sea conectada a un ordenador.

Una de esas acciones maliciosas será la modificación del aspecto de la carpeta Windows y del archivo desktop.ini. Esta última provoca que se añada el siguiente mensaje, "^_^ Hello, I'm a hot boy but I am very cool ^_^", a la barra de título de las carpetas de Windows.

Este gusano, además, realiza varias copias de sí mismo en el sistema con nombres aleatorios e intenta introducir el archivo autorun.inf, que permite su ejecución, en el menú contextual que aparece al pulsar el botón derecho del ratón.

Kangen.F es un troyano que llega al equipo con el icono de un pequeño tanque. Realiza varias copias de sí mismo en el sistema, en el que, además, descarga varios ficheros que corresponden a una página web que presenta un mensaje en indonesio.

Este troyano crea varias entradas en el registro de windows para asegurarse de que es ejecutado con cada reinicio. Además, intenta modificar tanto el nombre al que está registrado el sistema operativo como la organización.

Kangen.F puede llegar al sistema como un archivo adjunto en correo electrónico o formando parte de descargas infectadas de la red.

Powered by: PandaLabs®