Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Foamer.A realiza las siguientes acciones:
- Intenta conectarse a la página web http://www42.websam<bloqueado>88xq2y, y descargarse varios archivos, que pueden ser de cualquier naturaleza incluyendo malware.
- Deshabilita el Administrador de Tareas y el Editor del Registro de Windows.
- Si el usuario abre la consola de comandos CMD, Foamer.A vacía la pantalla, muestra el mensaje THE WORLD-WIDE DONT ACCEPT COMMAND PROMPT!!!! y la cierra automáticamente.
- Envía un mensaje de correo electrónico a su autor con datos del ordenador afectado, como nombre de usuario y nombre de la máquina.
Metodo de Infección
Foamer.A crea los siguientes archivos, que son copias de sí mismo:
- SVHOST.EXE y WINNT.EXE, en el directorio de Windows.
- EXPLORER.EXE, en el directorio de sistema de Windows.
Foamer.A crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ indows\ CurrentVersion\ Run
Shell = %sysdir% \explorer.exe
donde %sysdir% es el directorio de sistema de Windows. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
svchost = %windir%\svchost.exe
donde %windir% es el directorio de Windows. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
winnt = %windir%\winnt.exe
Mediante estas entradas, Foamer.A se asegura de que es ejecutado siempre que Windows se inicia. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ system
DisableRegistryTools = 1
Mediante esta entrada, Foamer.A deshabilita el Editor de Registro de Windows. - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ system
DisableTaskMgr = 1
Mediante esta entrada, Foamer.A deshabilita el Administrador de Tareas. - HKEY_LOCAL_MACHINE\ SOFTWARE
MoaphieSig
Foamer.A crea esta entrada como marca de infección, para saber si ha afectado previamente el ordenador. - HKEY_CURRENT_USER\ Software\ Microsoft\ Command Processor
AutoRun = cls && echo THE WORLD-WIDE DONT ACCEPT COMMAND PROMPT!!!! && exit
Mediante esta entrada, Foamer.A vacía la pantalla de la consola de comandos CMD, muestra un mensaje y la cierra automáticamente.
Foamer.A modifica la siguiente entrada del Registro de Windows :
- HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer \Main
Start Page = http://www42.websam<bloqueado>xq2y/index.html
Mediante esta modificación, Foamer.A cambia la página de inicio de Internet Explorer.
Método de Propagación
Foamer.A se propaga a través de redes de ordenadores. Para ello, realiza el siguiente proceso:
- Comprueba si el ordenador afectado se encuentra conectado a una red.
- En caso afirmativo, realiza un inventario de todas las unidades de red mapeadas y copia el archivo MOAPHIE.EXE, que es una copia del gusano, a cada una de ellas.
Otros Detalles
Foamer.A está escrito en el lenguaje de programación Visual Basic v6. Este gusano tiene un tamaño de 16896 Bytes y está comprimido mediante UPX.