MSNDiablo.A
PeligrosidadDañoPropagación

Efectos 

MSNDiablo.A realiza las siguientes acciones:

• Muestra el siguiente mensaje en pantalla cuando es ejecutado:
  
  
• Deshabilita el Administrador de tareas y el Editor del Registro de Windows.
• Se conecta a ciertas páginas web para comprobar si el ordenador afectado tiene conexión a Internet disponible.
• Descarga un archivo que se encarga de conectarse cada cierto tiempo a la página web http://diabloat<bloqueado>pages.com desde la que intentaría descargar un archivo, que puede ser de cualquier naturaleza, incluyendo malware.

Metodo de Infección 

MSNDiablo.A crea los siguientes archivos:

• XEYU.EXE y XSFR.EXE, en el directorio de sistema de Windows.
• STRAD.EXE y ZSER.EXE, en el directorio de Windows.
  Estos cuatro archivos son copias del gusano.
• A1.EXE y S1.EXE, en el directorio de Windows.
• D1.EXE, F1.EXE y SYSARC.EXE, en el directorio de sistema de Windows.
  Estos cinco archivos son copias del archivo denominado CA.TXT, que es el que MSNDiablo.A descarga.

MSNDiablo.A crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  SystemUpdate = %sysdir%\Xeyu.exe
  donde %sysdir% es el directorio de sistema de Windows.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  System = %sysdir%\Xsfr.exe
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  WindowsUpdate = %windir%\Strad.exe
  donde %windir% es el directorio de Windows.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  Windows = %windir%\Zser.exe
  Mendiante estas entradas, MSNDiablo.A consigue ejecutarse cada vez que Windows se inicia.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  WindowsK = %windir%\a1.exe
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  WindowsD = %windir%\s1.exe
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  SysteZ =%sysdir%\d1.exe
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  SyZ = %sysdir%\f1.exe
  Mediante estas entradas, el archivo CA.TXT, descargado por MSNDiablo.A, consigue ejecutarse cada vez que Windows se inicia.
• HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ Sys\ Baja
• HKEY_CURRENT_USER\ Software\ VB and VBA Program Settings\ SysUpdate\ sistema

Método de Propagación 

MSNDiablo.A se propaga a través del programa de mensajería instantánea MSN Messenger. Para ello, realiza el siguiente proceso:

• El usuario recibe un mensaje instantáneo con un enlace como el siguiente:
  hey mira esta animacion de bush http://videosgra<bloqueado>ost.com/bush.exe
  
  
• Si se pulsa dicho enlace, se descarga una copia de MSNDiablo.A en el ordenador afectado.
• MSNDiablo.A envía este mensaje a todos los contactos que estén conectados en ese momento.

Otros Detalles  

MSNDiablo.A está escrito en el lenguaje de programación Visual Basic v6. Este gusano tiene un tamaño de 122880 Bytes.