ManClick.C
PeligrosidadDañoPropagación

Efectos 

ManClick.C realiza las siguientes acciones:

• Cuando es ejecutado, abre varias páginas con el navegador Intenet Explorer mostrando una página que parece ser la de Google.
• Sin embargo, no se trata de la página original de Google, ya que la URL que aparece en la barra de direcciones es diferente. La URL a la que apunta es http://clic<bloqueado>anu.com.
• La siguiente imagen corresponde a la página que muestra:
  
  
• Muestra una página similar a la de Google con el objetivo de engañar a los usuarios para que no se den cuenta que la página web por la que están navegando no es la original.
• El objetivo que persigue a través de esta página podría ser ofrecer resultados que apuntaran a páginas web maliciosas para descargar malware o robar información confidencial del usuario.
• Impide que tanto el usuario como el ordenador afectado puedan acceder a numerosas páginas de programas de seguridad, buscadores y otros servicios online.
• Envía información sobre el ordenador afectado mediante canales de IRC, como dirección IP o nombre del equipo.

Además, realiza varias modificaciones en el Registro de Windows del ordenador afectado, que tienen las siguientes consecuencias:

• Deshabilita los siguientes elementos:
  - Editor del Registro de Windows.
  - Administrador de Tareas, lo que impediría al usuario visualizar los procesos que están en ejecución.
  - Opciones de carpeta del Explorador de Windows, que impide acceder al menú de configuración de las carpetas.
  - la opción Ejecutar del menú Inicio, que permite ejecutar archivos de una manera rápida y directa.
• Modifica la página de Inicio de Internet Explorer e impide que se pueda modificar por otra. La cambia por http://mye<bloqueado>ddy.com, que ofrece la posibilidad de contratar un servicio para ver partidos de cricket de todo el mundo.
• Impide que se pueda arrancar el ordenador en cualquiera de los tipos de modo seguro.
• Reduce el nivel de seguridad del ordenador, ya que impide la ejecución de ciertos archivos que corresponden a varias herramientas de seguridad.
• Utiliza diversas técnicas para dificultar su detección:
  - Oculta los archivos y carpetas con atributo oculto.
  - Oculta las extensiones de los archivos.
  - Oculta los archivos del sistema operativo.

Metodo de Infección 

ManClick.C crea los siguientes archivos, que son copias de sí mismo:

• SYS????.EXE, en el directorio raíz de la unidad C:.
  donde ???? representa caracteres aleatorios.
• MYWORK.EXE, en el directorio de Windows.
• EXPLORER.EXE, en el directorio de Inicio. De esta manera, consigue ejecutarse cada vez que Windows se inicia.

Además, crea un archivo AUTORUN.INF en el directorio raíz de la unidad C: y en las unidades extraíbles para que cada vez que se acceda a alguno de estos directorios se ejecute el gusano.

ManClick.C modifica el archivo HOSTS. Mediante esta modificación, evita que tanto el usuario como el ordenador puedan acceder a páginas web correspondientes a ciertos programas de seguridad, buscadores y otros servicios online.

ManClick.C crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
  DisableRegistryTools = 1
  Deshabilita el Editor del Registro de Windows.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
  DisableTaskMgr = 1
  Deshabilita el Administrador de Tareas.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
  NoRun = 1
  No muestra la opción Ejecutar del menú Inicio.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer
  NoFolderOptions = 1
  No muestra la opción Opciones de Carpeta en el Explorador de Windows.
• HKEY_CURRENT_USER\ Software\ Policies\ Microsoft\ Internet Explorer\ Control Panel
  Homepage = 01, 00, 00, 00
  Impide modificar la página de inicio de Internet Explorer.

ManClick.C crea o modifica las siguientes entradas, dependiendo de si el usuario afectado tiene instalado el programa Yahoo Messenger:

• HKEY_CURRENT_USER\ Software\ Yahoo\ pager\ View\ YMSGR_buzz
  content url = %página web establecida por el gusano%
• HKEY_CURRENT_USER\ Software\ Yahoo\ pager\ View\ YMSGR_Launchcast
  content url = %página web establecida por el gusano%
  Mediante estas entradas, ManClick.C cambia la página web que el usuario ve cuando accede a Yahoo Messenger.

Además, crea la ruta del Registro de Windows HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows NT\ CurrentVersion\ Image File Execution Options para que no se puedan ejecutar los siguientes archivos ejecutables, que corresponden a programas de seguridad:
bdagent.exe
bdss.exe
Bkav2006.exe
CCAPP.exe
CCenter.exe
cmd.exe
EGHOST.exe
far.exe
FireTray.exe
icesword.exe
IEProt.exe
Iparmor.exe
Kav.exe
kav32.exe
KavPFW.exe
KAVPLUS.exe
kavstart.exe
kavsvc.exe
KpopMon.exe
KRegEx.exe
KVCenter.kxp.exe
KVFW.exe
KVMonXP.exe
KVOL.exe
kvolself.exe
Kvsrvxp.exe
KVSrvXp_1.exe
kvwsc.exe
KWATCHUI.exe
livesrv.exe
MAILMON.exe
MCAGENT.exe
MCVSESCN.exe
MSKAGENT.exe
Nvsvc32.exe
PFW.exe
RAVMON.exe
RavMonD.exe
RavService.exe
RavTask.exe
RAVTIMER.exe
RfwMain.exe
RRfwMain.exe
Rtvscan.exe
SHSTAT.exe
TBMon.exe
TrojDie.kxp.exe
UpdaterUI.exe
VPTray.exe
vsserv.exe
worm2007.exe
xcommsvr.exe

ManClick.C modifica las siguientes entradas del Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
  Userinit = %sysdir%\userinit.exe,
  donde %sysdir% es el directorio de sistema de Windows.
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
  Userinit = %sysdir%\userinit.exe, System
  Mediante esta modificación, ManClick.C consigue ejecutarse cada vez que Windows se inicia.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
  Start Page = %página de inicio establecida por el usuario%
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
  Start Page = http://mye<bloqueado>ddy.com
  Modifica la página de inicio de Internet Explorer.

Además, modifica estas entradas del Registro de Windowspara ocultar su presencia y dificultar su detección:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  Hidden = 01, 00, 00, 00
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  Hidden = 00, 00, 00, 00
  Oculta los archivos y carpetas con atributo de oculto.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  HideFileExt = 00, 00, 00, 00
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  HideFileExt = 01, 00, 00, 00
  Mediante esta modificación, oculta las extensiones de los archivos.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  ShowSuperHidden = 01, 00, 00, 00
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  ShowSuperHidden = 00, 00, 00, 00
  Oculta los archivos del sistema operativo.

ManClick.C elimina las siguientes entradas del Registro de Windows para impedir que el sistema se pueda iniciar en cualquiera de los tipos de modo seguro:

• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}
  (Default) = DiskDrive
• HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318}
  (Default) = DiskDrive
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Minimal\ {4D36E967-E325-11CE-BFC1-08002BE10318}
  (Default) = DiskDrive
• HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ SafeBoot\ Network\ {4D36E967-E325-11CE-BFC1-08002BE10318}
  (Default) = DiskDrive

Método de Propagación 

ManClick.C se distribuye a través de mensajes de spam.

Los mensajes que utiliza son los siguientes:

• %usuario% send to you Get Money Today Don't Delay!, Congratulation, You May Qualify for Free Government Funding www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you Got One Dollar? =)) One Dollar Auctions – Save Huge Click To Shop www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you 2008 New Car Quote Now ! =)) Low 2007/2008 new car prices .you can read here www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you We’ll pay for your Airfare! :D :D Have some place to go? Long winter ? Get away with a FREE $500 www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you Picture Yourself an eBay Millionaire! :* She used our Auction Success Kit! www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you Congratulations! =)) Your recent shopping activity has qualified you to receive a $500 KMART gift card. Follow the link to confirm shipment of your gift card. Confirm shipment of your KMART gift card. Click here: www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you YOUR REWARD: $500 Best Buy Gift Card.Enjoy, www.mye<bloqueado>ddy.com HGZ Reward Division verified by %usuario%
• %usuario% send to you Wanna see my pics? NO CREDIT CARD REQUIRED!! Free to:- contact members www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you Get $1500 in your bank account IN ONE HOUR Get the Money you need... www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you Get a *Free DELL Colored Laptop! a $1200 value. www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you Your Secret Lover has instructed us to tell you they won't wait long for your response, so Click the link below to talk to them now! www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you Are you looking for lasting love or just some new friends? www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you What are you waiting for? Local Singles in your Area Now! www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you Download all your favorite music, movies, games and software. 12 Million MP3 Files Highest Quality MP3 Format www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you Born: 8/25/1933 Blood: A Breast: 85 Waist: 56 Hips: 85 Height: 161 what do u want me 2 do next? www.mye<bloqueado>ddy.com verified by %usuario%
• %usuario% send to you Sexy Celeb & Funny Videos thousands of hot celebrity VideosFunny Video www.mye<bloqueado>ddy.com verified by %usuario%

Además, se propaga a través de unidades compartidas, extraíbles y mapeadas, realizando copias de sí mismo en ellas.

Otros Detalles  

ManClick.C tiene un tamaño de 27648 Bytes.