Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Ketawa.A realiza las siguientes acciones:
- Cuando es ejecutado, abre la siguiente ventana de Internet Explorer:
El contenido del documento es un chiste en indonesio. - Modifica la configuración del protector de pantalla de tal manera que:
- cada vez que se activa, se solicita el nombre de usuario y contraseña para iniciar sesión.
- reduce el tiempo de espera de su activación.
- el archivo que se ejecuta cuando se activa es una copia de Ketawa.A. - Impide que se muestren los archivos ocultos.
Metodo de Infección
Ketawa.A crea los siguientes archivos:
- NETMMC.EXE, PIPES.SCR y TOOTSMAN.EXE, en el directorio de Windows. Estos archivos son copias del troyano.
- BINARY-VALUE.BAT, en el directorio de Inicio. Este archivo se encarga de ejecutar a MONTHYEAR.REG.
- MONTHYEAR.REG, en el directorio de Windows y SPY.REG, en el directorio de sistema de Windows. Estos archivos crean las entradas del Registro de Windows para ejecutar las copias del troyano.
- FLOWER.REG, en la subcarpeta SYSTEM del directorio de Windows. Se encarga de modificar las entradas del Registro de Windows relacionadas con el protector de pantalla.
- SHOW_SCREEN.REG, en la subcarpeta SYSTEM del directorio de Windows. Este archivo abre el documento que muestra el texto en indonesio.
- KETAWA_SAMPE_MABOK.HTM, en la subcarpeta WEB del directorio de Windows. Este archivo corresponde al documento en indonesio.
Ketawa.A crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
user = tootsman.exe - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
current = netmmc.exe
Mediante estas entradas, Ketawa.A consigue ejecutarse cada vez que Windows se inicia.
Ketawa.A modifica las siguientes entradas del Registro de Windows:
- HKEY_CURRENT_USER\ Control Panel\ Desktop
ScreenSaverIsSecure = 1
Cambia esta entrada por:
HKEY_CURRENT_USER\ Control Panel\ Desktop
ScreenSaverIsSecure = 0
De esta manera, Ketawa.A modifica la configuración del protector de pantalla para que cuando se active, sea necesario introducir el nombre de usuario y la contraseña para volver a iniciar sesión. - HKEY_CURRENT_USER\ Control Panel\ Desktop
ScreenSaveTimeOut = 600
Cambia esta entrada por:
HKEY_CURRENT_USER\ Control Panel\ Desktop
ScreenSaveTimeOut = 180
Mediante esta modificación, Ketawa.A reduce el tiempo de espera de la activación del protector de pantalla. - HKEY_CURRENT_USER\ Control Panel\ Desktop
SCRNSAVE.EXE = logon.scr
Cambia esta entrada por:
HKEY_CURRENT_USER\ Control Panel\ Desktop
SCRNSAVE.EXE = pipes.scr
De esta manera, sustituye el archivo que se ejecuta cuando se activa el protector de pantalla por PIPES.SCR, que es una copia de sí mismo. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 1
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
Hidden = 2
Mediante esta modificación, Ketawa.A impide que se muestren los archivos ocultos.
Método de Propagación
Ketawa.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
>Otros Detalles
Ketawa.A está escrito en el lenguaje de programación Visual Basic v6.0. Este troyano tiene un tamaño de 77824 Bytes.