Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Encyclopedia
GetVirusCard
Efectos
Samal.A es un gusano diseñado para activarse y realizar las siguientes acciones maliciosas si la fecha de sistema corresponde al año 2009:
- Antes de que el ordenador llegue a iniciarse, muestra el siguiente mensaje en pantalla:
en el que se puede leer: "Ah ah no has dicho la palabra mágica" - Después de introducir tres veces algún valor, muestra otro mensaje en pantalla:
en el que se puede leer: "Samael ha llegado. Es el fin" - Este mensaje se queda en pantalla y el ordenador no puede iniciarse.
- Si el usuario reinicia el ordenador, volverán a mostrarse los mismos mensajes y el ordenador tampoco podrá iniciarse.
Si la fecha de sistema es distinta a 2009, Samal.A no mostrará mensajes en pantalla pero el ordenador estará reiniciándose continuamente.
Metodo de Infección
Samal.A crea los siguientes archivos:
- SMMS.EXE, en el directorio de Windows.
- CSRSS.EXE y DISKINI.XP, en la carpeta inf del directorio de Windows.
Estos tres archivos son copias de sí mismo. - SMMS.BAT, en el directorio de Windows.
- [TRAFFIK]CRACK FOR WINDOWS.SIK, en la carpeta emule\incoming del directorio Archivos de Programa. Este archivo contiene el siguiente texto:
Samael 3.0
%hora del sistema%
%fecha del sistema%
EN
Este archivo lo crea como marca de infección para saber qué ordenadores están infectados con este gusano.
Además, crea un archivo AUTORUN.INF en todas las unidades del sistema para conseguir ejecutar automáticamente las copias del gusano cada vez que se acceda a alguna de ellas.
Por otra parte, Samal.A modifica el archivo NTLDR del directorio raíz de la unidad C:. De esta manera, consigue que se muestren los mensajes mencionados previamente cuando se inicia el ordenador.
Samal.A crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Proyecto1 = %windir%\smms.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, Samal.A consigue ejecutarse cada vez que Windows se inicia. - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
HRZR_EHACNGU - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
HRZR_EHACNGU:CRGbbyf.yax - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
HRZR_EHACNGU:P:\Cebtenz Svyrf\VaPgey5\VaPgey5.rkr - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
HRZR_EHACNGU:VaPgey5.yax - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count
HRZR_HVFPHG
Método de Propagación
Samal.A se propaga realizando copias de sí mismo en todas las unidades del sistema. El nombre con el que se copia es INFO.EXE, y crea también un archivo AUTORUN.INF en todas las unidades para que la copia del gusano se ejecute automáticamente cada vez que se acceda a alguna de ellas.
Otros Detalles
Samal.A está escrito en el lenguaje de programación Visual Basic v6. Este gusano tiene un tamaño de 139285 Bytes.
>