WORM_SPYBOT.BUQ

Agrega determinadas entradas de registro para desactivar el Administrador de tareas. Esta acción impide que el usuario lleve a cabo la cancelación del proceso de malware, la cual suele realizarse a través del Administrador de tareas.

Este malware infiltra copias de sí mismo en las unidades extraíbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Este malware modifica la configuración de zona de Internet Explorer.

Instalación

Infiltra los archivos siguientes:

• {removable drive letter}:\lbmxc.cmd
• %System%\{random folder name}\{malware filename}.exe
• %System%\{random folder name}\{random filename}.{random extensions}
• %Windows%\LastGood\INF\oem13.inf
• %Windows%\LastGood\INF\oem13.PNF
• %Windows%\inf\oem13.inf
• %Windows%\inf\oem13.PNF

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKLM\Software\Microsoft\
Windows\CurrentVersion\Run
{malware filename} = "%System%\{random number}\{malware filename}.exe

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

• {malware filename}.lnk

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKCU\Software\{username}{random numbers}

HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
system

Modifica las siguientes claves de registro:

HKCU\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegistryTools = "1"

(Note: The default value data of the said registry entry is "0".)

HKLM\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

(Note: The default value data of the said registry entry is "1".)

HKLM\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
Enablefirewall = "0"

(Note: The default value data of the said registry entry is "1".)

HKLM\SYSTEM\ControlSet001\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DoNotAllowExceptions = "0"

(Note: The default value data of the said registry entry is "1".)

Agrega las siguientes entradas de registro para desactivar el Administrador de tareas:

HKCU\Software\Microsoft\
Windows\CurrentVersionPolicies\system
DisableTaskMgr = "1"

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKCU\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKLM\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{application path and filename} = "{application path and filename}:*:Enabled:ipsec"

Elimina las siguientes claves de registro:

HKLM\SYSTEM\CurrentControlSet\
Control\SafeBoot

HKLM\SYSTEM\CurrentControlSet\
Services\ALG

Propagación

Este malware infiltra copias de sí mismo en las unidades extraíbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Este malware infecta archivos del/de los siguiente(s) tipo(s) de las redes compartidas, asegurando su propagación a lo largo de la red:

• EXE

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.