Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
KillRDLL.A realiza las siguientes acciones:
- Cada vez que el usuario accede a un directorio, crea una copia de sí mismo con el icono de una carpeta de Windows y oculta la extensión para que el usuario piense que se trata de una carpeta.
- Si el usuario accede a un subdirectorio, también creará otra copia de sí mismo camuflada en una carpeta.
- La carpeta Favorites que se ve en la imagen, es en realidad una copia del troyano, camuflada como si fuera una carpeta de Windows:
- Estos son algunos de los nombres que utiliza para copiarse, entre otros:
Angelina Jolie
Clips
Documents
Favorites
Flash Games
Games
My Documents
My Folder
Picture
Video
WallPapers - Además, cuando es ejecutado, abre la página web de un buscador que falsea los resultados:
Metodo de Infección
KillRDLL.A crea una copia de sí mismo con el nombre con el que el archivo haya sido ejecutado en el directorio de sistema de Windows.
Además, crea el archivo RUNDLL32.EXE en los siguientes directorios:
- en la carpeta dllcache del directorio de sistema de Windows.
- en la carpeta LastGood\system32 en el directorio de Windows.
KillRDLL.A crea la siguiente entrada en el Registro de Windows:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
%nombre con el que ha sido ejecutado% = %sysdir%\%nombre con el que ha sido ejecutado%.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, KillRDLL.A consigue ejecutarse cada vez que Windows se inicia.
KillRDLL.A modifica la siguiente entrada del Registro de Windows, para ocultar su presencia y dificultar su detección:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 00, 00, 00, 00
Cambia esta entrada por:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 01, 00, 00, 00
Mediante esta modificación, oculta la extensión de los archivos.
Método de Propagación
KillRDLL.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
KillRDLL.A tiene un tamaño de 97280 Bytes y está comprimido mediante UPX.