Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Encyclopedia GetVirusCard True 0

Hairy.A

PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

Hairy.A realiza las siguientes acciones:

  • Cuando se ejecuta, muestra el siguiente mensaje:

    Mensaje que muestra Hairy.A
    en el que se puede leer Harry Potter is dead (Harry Potter está muerto)
  • Después, reinicia el ordenador y muestra este mensaje:

    Mensaje que muestra Hairy.A
  • Crea tres cuentas de usuario con los nombres Harry-Potter, Ron-Weasley y Hermione-Granger, que le permitirían acceder remotamente al ordenador afectado.
  • Modifica la página de inicio de Internet Explorer por la siguiente:
    http://www.amazon.com/Putter-Cham<bloqueado>emPosition=2&qid=1176116190&sr=8-2
  • Deshabilita las siguientes aplicaciones:
    - Editor del Registro de Windows.
    - Administrador de Tareas.
    - Buscar y Ejecutar del menú Inicio.
    - Opciones de carpeta.
    - menú contextual, es decir, el que aparece cuando pulsamos el botón derecho del ratón.
    - Cerrar sesión.
  • Deshabilita el cortafuegos de Windows XP.
  • Oculta los iconos y el reloj del área de notificación.
  • Crea una tarea programada mediante el comando AT de Windows, para ejecutarse cada cierto tiempo.

Metodo de Infección 

Hairy.A crea los siguientes archivos:

  • HARRYPOTTER-THEDEATHLYHALLOWS.EXE, en la subcarpeta CACHE del directorio de Windows.
  • TALK.BAT, en el directorio TEMP del directorio de Windows, que corresponde al mensaje que muestra en cada reinicio.

 

Hairy.A crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
    DisableRegistryTools = 01, 00, 00, 00
    Deshabilita el Editor del Registro de Windows.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
    DisableTaskMgr = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ system
    DisableTaskMgr = 01, 00, 00, 00
    Deshabilita el Administrador de Tareas.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
    NoFind = 01, 00, 00, 00
    Deshabilita la función Buscar del menú Inicio.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
    NoRun = 01, 00, 00, 00
    Deshabilita la funcion Ejecutar del menú Inicio.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
    HideClock = 01, 00, 00, 00
    Oculta el reloj del área de notificación.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
    NoFolderOptions = 01, 00, 00, 00
    Deshabilita la opción Opciones de Carpeta.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
    NoTrayContextMenu = 01, 00, 00, 00
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
    NoViewContextMenu = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
    NoViewContextMenu = 01, 00, 00, 00
    Mediante estas tres entradas, deshabilita el menú contexual, es decir, el que aparece cuando pulsamos el botón derecho del ratón.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
    NoTrayItemsDisplay = 01, 00, 00, 00
    Oculta los iconos del área de notificación.
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    talk = %windir%\Tempt\talk.bat
    donde %windir% es el directorio de Windows.

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
    Window Title = JK Rowling Owns You
    Añade en el título de las ventanas de Internet Explorer la frase JL Rowloing Owns You (JK Rowling te pertenece)

Además, crea las siguientes entradas para deshabilitar el cortafuegos de Windows XP:

  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
    DoNotAllowExceptions = 00, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
    EnableFirewall = 00, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
    DoNotAllowExceptions = 00, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
    EnableFirewall = 00, 00, 00, 00

Hairy.A modifica la siguiente entrada del Registro de Windows:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
    Start Page =     %página de inicio del usuario afectado%
    Cambia esta entrada por:
    HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
    Start Page =     http://www.amazon.com/Putter-Cham<bloqueado>emPosition=2&qid=1176116190&sr=8-2
    Mediante esta modificación, Hairy.A modifica la página de inicio de Internet Explorer.

Método de Propagación 

Hairy.A se propaga realizando copias de sí mismo en la unidades que haya disponibles de la C: a la J:, incluyendo dispositivos extraíbles. Además, crea un archivo AUTORUN.INF, para que cada vez que se acceda a alguna de estas unidades, se ejecute el gusano.

Otros Detalles  

Hairy.A está escrito en el lenguaje de programación AutoIt. Este gusano tiene un tamaño de 224340 Bytes y está comprimido mediante UPX.
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info