Descripción completa

Nombre:	Worm/Rindu.D
Descubierto:	28/08/2007
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio-alto
Fichero estático:	Sí
Tamaño:	107.008 Bytes
Suma de control MD5:	85eeb3645837f31308f44f9746c9bc82
Versión del VDF:	6.39.01.79
Versión del IVDF:	6.39.01.082

General Métodos de propagación:
   • Red local
   • Unidades de red mapeadas

Alias:
   • Mcafee: W32/Ridnu.d
   • Panda: W32/Ridnu.F.drp

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\logonui.scr
   • %SYSDIR%\MyComp.scr
   • %SYSDIR%\userinit.exe
   • %SYSDIR%\sndvol32.exe
   • %SYSDIR%\calc.exe
   • %SYSDIR%\notepad.exe
   • %SYSDIR%\mspaint.exe
   • C:\MSOCache\dlcache\Lagu.scr
   • C:\MSOCache\dlcache\Gambar.scr
   • C:\MSOCache\dlcache\Film.scr
   • C:\MSOCache\dlcache\Dokumen Penting.scr
   • %PROGRAM FILES%\outlook express.scr
   • %PROGRAM FILES%\winamp.scr
   • %PROGRAM FILES%\Windows Media Player.scr
   • %PROGRAM FILES%\Windows NT\dialer.exe
   • %PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE

Crea la siguiente carpeta:
   • C:\MSOCache\dlcache\

Añade secciones a los siguientes ficheros:
– Para: %SYSDIR%\dllcache\userinit.exe Con el siguiente contenido:
   • %ficheros ejecutados%

– Para: %SYSDIR%\dllcache\sndvol32.exe Con el siguiente contenido:
   • %ficheros ejecutados%

– Para: %SYSDIR%\dllcache\calc.exe Con el siguiente contenido:
   • %ficheros ejecutados%

– Para: %SYSDIR%\dllcache\notepad.exe Con el siguiente contenido:
   • %ficheros ejecutados%

– Para: %SYSDIR%\dllcache\mspaint.exe Con el siguiente contenido:
   • %ficheros ejecutados%

– Para: %SYSDIR%\dllcache\iexplore.exe Con el siguiente contenido:
   • %ficheros ejecutados%

Sobrescribe un fichero.
– %PROGRAM FILES%

Extensión del fichero:
   • *.exe

Con el siguiente contenido:
   • %ficheros ejecutados%

Copia los siguientes ficheros:
    • %SYSDIR%\userinit.exe en %SYSDIR%\dllcache\userinit.exe
    • %SYSDIR%\sndvol32.exe en %SYSDIR%\dllcache\sndvol32.exe
    • %SYSDIR%\calc.exe en %SYSDIR%\dllcache\calc.exe
    • %SYSDIR%\notepad.exe en %SYSDIR%\dllcache\notepad.exe
    • %SYSDIR%\mspaint.exe en %SYSDIR%\dllcache\mspaint.exe
    • %PROGRAM FILES%\Internet Explorer\iexplore.exe en %SYSDIR%\dllcache\iexplore.exe

Crea el siguiente fichero:

– %WINDIR%\media\suara.mp3

Registro Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Valor anterior:
   • "RegPath"="%configuración definida por el usuario%"
   Nuevo valor:
   • "RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\AdvancedDeulleDo-X"

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Valor anterior:
   • "UncheckedValue"=%configuración definida por el usuario%
   Nuevo valor:
   • "UncheckedValue"=dword:00000000

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\ShowFullPathAddress]
   Valor anterior:
   • "UncheckedValue"=%configuración definida por el usuario%
   Nuevo valor:
   • "UncheckedValue"=dword:00000001

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\HideFileExt]
   Valor anterior:
   • "UncheckedValue"=%configuración definida por el usuario%
   Nuevo valor:
   • "UncheckedValue"=dword:00000001

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Policies\Microsoft\Windows\System]
   Valor anterior:
   • "DisableCMD"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableCMD"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
   CabinetState]
   Valor anterior:
   • "FullPathAddress"=%configuración definida por el usuario%
   Nuevo valor:
   • "FullPathAddress"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="%configuración definida por el usuario%"
   Nuevo valor:
   • "Shell"="Explorer.exe, MyComp.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableTaskMgr"="%configuración definida por el usuario%"
     "DisableRegistryTools"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableTaskMgr"="1"
     "DisableRegistryTools"=dword:00000001

– [HKLM\SOFTWARE\Classes\scrfile]
   Valor anterior:
   • @=""="%configuración definida por el usuario%"
     "NeverShowExt"=%configuración definida por el usuario%
   Nuevo valor:
   • @="File Folder"
     "NeverShowExt"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • "NoFolderOptions"=%configuración definida por el usuario%
     "NoFind"=%configuración definida por el usuario%
     "NoRun"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoFolderOptions"=dword:00000001
     "NoFind"=dword:00000001
     "NoRun"=dword:00000001


– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "ShowSuperHidden"=%configuración definida por el usuario%
     "HideFileExt"=%configuración definida por el usuario%
   Nuevo valor:
   • "ShowSuperHidden"=dword:00000000
     "HideFileExt"=dword:00000001

Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.

Suelta copias suyas en las siguientes carpetas compartidas en la red:
   • IPC$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\
   • imorxr$\Lagu.scr
   • imorxr$\Gambar.scr
   • imorxr$\Film.scr
   • imorxr$\Dokumen Penting.scr

Finalización de los procesos Han finalizado los procesos que contienen uno de los siguientes títulos de ventana:
   • ANTI; TROJAN; SUPPORT; MASTER; WORM; VIRUS; HACK; CRACK; LINUX; AVG;
      GRISOFT; CILLIN; SECURITY; LOCK; ASSOCIAT; SETUP; VAKSIN; UPDATE;
      TEST; XXX; HIDDEN; DEMO; SYSTEM32; AFEE; NORTON; RONTOK; PCMAV; W32;
      BLACK; MACRO; deulledo; TREND; SPERSKY; REGISTRY; COMMAND; KILL;
      NORMAN; FILM; PORNO; SVQj; PROCEXPL

Informaciones diversas Recursos compartidos en la red:
Serán creados los siguientes recursos compartidos en la red:
   • imorxr$\
   • Data.C$\
   • Data.D$\
   • Data.E$\
   • Data.F$\
   • Data.G$\
   • Data.H$\

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Descripción insertada por Monica Ghitun el lunes 3 de septiembre de 2007
Descripción actualizada por Monica Ghitun el miércoles 5 de septiembre de 2007

Volver . . . .