Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
RogueMario.A realiza las siguientes acciones:
- Cuando es ejecutado, se abre el juego de Super Mario Bros para engañar el usuario y no sospeche nada. Mientras tanto, el gusano lleva a cabo sus acciones maliciosas:
- Modifica la página de inicio de Internet Explorer, y la cambia por:
http://en.wikipedi<bloqueado>ki/Front_Mission_3 - Finaliza los siguientes programas de monitorización:
HijackThis - v1.99.1
JAMILAH 1.2.1
Multikiller
Multikiller2
Process Explorer
Process Viewer
System Restore
ViRemoval CRC32
X-RayPc
Zanda's little helper - Modifica el aspecto de la barra de herramientas del Explorador de Windows:
- Crea una tarea programada para ejecutarse automáticamente a cierta hora del día.
Metodo de Infección
RogueMario.A crea los siguientes archivos, que son copias de sí mismo:
- EXPLORER.EXE, MARIO.EXE y XPLORER.EXE, en el directorio raíz de la unidad C:.
- WINLOGON.EXE, en el directorio de Windows.
- MSVBVM60.DLL.EXE, PANGKALP1NANG.EXE y SMUNSA_PKP_GAME.EXE, en el directorio de sistema de Windows.
- ALISA.EXE y EMMA.EXE, en la subcarpeta APPLICATION DATA del directorio Documents and Settings del usuario que haya iniciado sesión.
- ROMAR-A.EXE, en el Escritorio del usuario que haya iniciado sesión.
- MARIO BROSS.EXE, MINESWEEPER.EXE y SOLITAIRE CARD.EXE, en la carpeta Mis Documentos del usuario que haya iniciado sesión.
- BOLA PANTUL.EXE, FREECARD.EXE y MYHEARTS.EXE, en la carpeta Documentos de todos los usuarios del ordenador.
Además, crea los archivos DESKTOP.INI y ALICIA.HTT en el directorio raíz de la unidad C: para ejecutarse cada vez que se acceda a dicha unidad y una tarea programada con el nombre AT1.JOB en la subcarpeta TASKS del directorio de Windows, para ejecutarse a cierta hora del día.
RogueMario.A crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
Mr_CoolFace_Game = C:\Documents and Settings\%usuario%\Application Data\Emma.exe Á # ü ÷ù‰Eô‹E ™÷ùƒe ‹ÊÓæ+Ú÷ - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
ii = %windir%\winlogon.exe T õwCå÷w#ó÷w üê /ó÷w @U÷wÿÿÿÿT õw ˆê È ¤ë $øwøT÷wÿÿÿ
donde %windir% es el directorio de Windows. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
SmansaApp = %windir%\winlogon.exe #ó÷w ¨ûÁ /ó÷w @U÷wÿÿÿÿT õw X 4ûÁ PüÁ $øwøT÷wÿÿÿÿ õwË%
Mediante estas entradas, RogueMario.A consigue ejecutarse cada vez que Windows se inicia. - HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Toolbar
BackBitmapShell = %windir%\Web\Wallpaper\Bliss.bmp - HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore
DisableConfig = 01, 00, 00, 00
Mediante esta entrada, RogueMario.A deshabilita la opción Restaurar sistema.
RogueMario.A modifica las siguientes entradas del Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Shell = Explorer.exe
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Shell = explorer.exe "C:\explorer.exe" - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Userinit = %sysdir%\userinit.exe,
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
Userinit = %sysdir%\userinit.exe, C:\explorer.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante estas modificaciones, RogueMario.A consigue ejecutarse cada vez que Windows se inicia. - HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot
AlternateShell = cmd.exe
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot
AlternateShell = C:\explorer.exe - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot
AlternateShell = cmd.exe
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot
AlternateShell = C:\explorer.exe
Mediante estas modificaciones, RogueMario.A impide ejecutar la consola CMD en modo a prueba de fallos. - HKEY_CURRENT_USER\ Control Panel\ International
sCountry = Spain
Cambia esta entrada por:
HKEY_CURRENT_USER\ Control Panel\ International
sCountry = Mr_CoolFace - HKEY_CURRENT_USER\ Control Panel\ International
sCurrency = €
Cambia esta entrada por:
HKEY_CURRENT_USER\ Control Panel\ International
sCurrency = Mr_CoolFace - HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer
Logon User Name = %nombre de usuario%
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer
Logon User Name = Mr_CoolFace
Modifica el nombre de usuario por Mr_Coolface. - HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = %página de inicio seleccionada por el usuario%
Cambia esta entrada por:
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Start Page = http://en.wikipedi<bloqueado>ki/Front_Mission_3 - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Main
Start Page = %página de inicio seleccionada por el usuario%
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Main
Start Page = http://en.wikipedi<bloqueado>ki/Front_Mission_3
Modifica la página de inicio de Internet Explorer. - HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ batfile\ shell\ open\ command
(Default) = "C:\explorer.exe" "%1" %* - HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ comfile\ shell\ open\ command
(Default) = "C:\explorer.exe" "%1" %* - HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
(Default) = "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
(Default) = "C:\explorer.exe" "%1" %* - HKEY_CLASSES_ROOT\ scrfile\ shell\ open\ command
(Default) = "%1" /S
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ scrfile\ shell\ open\ command
(Default) = "C:\explorer.exe" "%1" %* - HKEY_CLASSES_ROOT\ VBSFile\ Shell\ Open\ Command
(Default) = %sysdir%\WScript.exe "%1" %*
Cambia esta entrada por:
HKEY_CLASSES_ROOT\ VBSFile\ Shell\ Open\ Command
(Default) = "C:\explorer.exe" "%1" %*
Mediante estas modificaciones, RogueMario.A se ejecuta cada vez que el usuario ejecute archivos con extensión BAT, COM, PIF, SCR y VBS.
Método de Propagación
RogueMario.A se propaga a través de unidades mapeadas y de correo electrónico.
1.- Propagación a través de unidades mapeadas.
Realiza copias de sí mismo en la subcarpeta GAME, creada por él mismo, de todas las unidades disponibles. Para ello utiliza los siguientes nombres:
BOLA.EXE
CRAZY MOUSE.EXE
DARK SCREEN.EXE
GONCANG.EXE
KARTU.EXE
KELAP KELIP.EXE
LAYAR JATUH.EXE
LEGEND.EXE
MINESWEEPER.EXE
MY HEART.EXE
PINK PANTHER.EXE
SMART.EXE
START HIDE.EXE
TEXT ANIMATION.EXE
XP BUTTON.EXE
2.- Propagación a través de correo electrónico.
RogueMario.A se propaga a través del correo electrónico. Para ello, realiza el siguiente proceso:
- Llega al ordenador en un mensaje de correo con un archivo adjunto que contiene una copia del gusano.
- El ordenador es afectado cuando se ejecuta el archivo adjunto.
- RogueMario.A envía una copia de sí mismo a las direcciones que encuentre en la lista de contactos de Outlook.
Otros Detalles
RogueMario.A está escrito en el lenguaje de programación Visual C++. Este gusano tiene un tamaño de 121599 Bytes y está comprimido mediante TeLock.