ManClick.B
PeligrosidadDañoPropagación

Efectos 

ManClick.B realiza las siguientes acciones:

• Cuando es ejecutado, abre varias páginas con el navegador Intenet Explorer mostrando una página que parece ser la de Google.
• Sin embargo, no se trata de la página original de Google, ya que la URL que aparece en la barra de direcciones es diferente. La URL a la que apunta es http://clic<bloqueado>anu.com.
• La siguiente imagen corresponde a la página que muestra:
  
  
• Muestra una página similar a la de Google con el objetivo de engañar a los usuarios para que no se den cuenta que la página web por la que están navegando no es la original.
• El objetivo que persigue a través de esta página podría ser ofrecer resultados que apuntaran a páginas web maliciosas para descargar malware o robar información confidencial del usuario.

Además, realiza varias modificaciones en el Registro de Windows del ordenador afectado, que tienen las siguientes consecuencias:

• Deshabilita los siguientes elementos:
  - Editor del Registro de Windows.
  - Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
  - Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.
  - la opción Buscar del menú Inicio, que permite buscar archivos de una manera rápida y directa.
  - la opción Ejecutar del menú Inicio, que permite ejecutar archivos de una manera rápida y directa.
• Modifica la página de Inicio de Internet Explorer e impide que se pueda modificar por otra. La cambia por http://mye<bloqueado>ddy.com, que ofrece la posibilidad de contratar un servicio para ver partidos de cricket de todo el mundo.
• Impide que se pueda arrancar el ordenador en cualquiera de los tipos de modo seguro.
• Reduce el nivel de seguridad del ordenador, ya que impide la ejecución de ciertos archivos que corresponden a varias herramientas de seguridad.
• Utiliza diversas técnicas para dificultar su detección:
  - Oculta los archivos y carpetas con atributo oculto.
  - Oculta las extensiones de los archivos.
  - Oculta los archivos del sistema operativo.

Metodo de Infección 

ManClick.B crea los siguientes archivos, que son copias de sí mismo:

• AUTO.EXE, en el directorio raíz de la unidad C:.
• SYSTEM.EXE, en el directorio de Windows.
• EXPLORER.EXE, en el directorio de Inicio. De esta manera, consigue ejecutarse cada vez que Windows se inicia.

Además, crea un archivo AUTORUN.INF en el directorio raíz de la unidad C: y en las unidades extraíbles para que cada vez que se acceda a alguno de estos directorios se ejecute el gusano.

ManClick.B crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
  DisableRegistryTools = 1
  Deshabilita el Editor del Registro de Windows.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
  DisableTaskMgr = 1
  Deshabilita el Administrador de Tareas.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
  NoFind = 1
  No muestra la opción Buscar del menú Inicio.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
  NoRun = 1
  No muestra la opción Ejecutar del menú Inicio.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
  NoFolderOptions = 1
  No muestra la opción Opciones de Carpeta en el Explorador de Windows.
• HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel
  Homepage = 01, 00, 00, 00
  Impide modificar la página de inicio de Internet Explorer.

ManClick.B crea o modifica las siguientes entradas, dependiendo de si el usuario afectado tiene instalado el programa Yahoo Messenger:

• HKEY_CURRENT_USER\ Software\ Yahoo\ pager\ View\ YMSGR_buzz
  content url = %página web establecida por el gusano%
• HKEY_CURRENT_USER\ Software\ Yahoo\ pager\ View\ YMSGR_Launchcast
  content url = %página web establecida por el gusano%
  Mediante estas entradas, ManClick.B cambia la página web que el usuario ve cuando accede a Yahoo Messenger.

Además, crea la ruta del Registro de Windows HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows NT\ CurrentVersion\ Image File Execution Options para que no se puedan ejecutar los siguientes archivos ejecutables, que corresponden a programas de seguridad:
bdagent.exe
bdss.exe
Bkav2006.exe
CCAPP.exe
CCenter.exe
cmd.exe
EGHOST.exe
far.exe
FireTray.exe
icesword.exe
IEProt.exe
Iparmor.exe
Kav.exe
kav32.exe
KavPFW.exe
KAVPLUS.exe
kavstart.exe
kavsvc.exe
KpopMon.exe
KRegEx.exe
KVCenter.kxp.exe
KVFW.exe
KVMonXP.exe
KVOL.exe
kvolself.exe
Kvsrvxp.exe
KVSrvXp_1.exe
kvwsc.exe
KWATCHUI.exe
livesrv.exe
MAILMON.exe
MCAGENT.exe
MCVSESCN.exe
MSKAGENT.exe
Nvsvc32.exe
PFW.exe
RAVMON.exe
RavMonD.exe
RavService.exe
RavTask.exe
RAVTIMER.exe
RfwMain.exe
RRfwMain.exe
Rtvscan.exe
SHSTAT.exe
TBMon.exe
TrojDie.kxp.exe
UpdaterUI.exe
VPTray.exe
vsserv.exe
worm2007.exe
xcommsvr.exe

ManClick.B modifica las siguientes entradas del Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
  Shell = Explorer.exe
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
  Shell = Explorer.exe, System
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
  Userinit = %sysdir%\userinit.exe,
  donde %sysdir% es el directorio de sistema de Windows.
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
  Userinit = %sysdir%\userinit.exe, System
  Mediante estas modificaciones, ManClick.B consigue ejecutarse cada vez que Windows se inicia.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
  Start Page = %página de inicio establecida por el usuario%
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
  Start Page = http://mye<bloqueado>ddy.com
  Modifica la página de inicio de Internet Explorer.

Además, modifica estas entradas del Registro de Windowspara ocultar su presencia y dificultar su detección:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  Hidden = 01, 00, 00, 00
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  Hidden = 00, 00, 00, 00
  Oculta los archivos y carpetas con atributo de oculto.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  HideFileExt = 00, 00, 00, 00
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  HideFileExt = 01, 00, 00, 00
• HKEY_CURRENT_USER\ Software\ Microsoft\ Command Processor
  EnableExtensions = 1
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Command Processor
  EnableExtensions = 0
  Mediante estas dos modificaciones, oculta las extensiones de los archivos.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  ShowSuperHidden = 01, 00, 00, 00
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  ShowSuperHidden = 00, 00, 00, 00
  Oculta los archivos del sistema operativo.

ManClick.B elimina las siguientes entradas del Registro de Windows para impedir que el sistema se pueda iniciar en cualquiera de los tipos de modo seguro:

• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}
  (Default) = DiskDrive
• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318}
  (Default) = DiskDrive
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}
  (Default) = DiskDrive
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318}
  (Default) = DiskDrive

Método de Propagación 

ManClick.B llega al ordenador en un archivo con el icono que tiene por defecto las carpetas de Windows:

Además, se propaga a través de unidades comaprtidas, extraíbles y mapeadas, realizando copias de sí mismo en ellas.

Otros Detalles  

ManClick.B está escrito en el lenguaje de programación Delphi v5. Este gusano tiene un tamaño de 27648 Bytes.