BckPatcher.C
PeligrosidadDañoPropagación

Efectos 

BckPatcher.C realiza las siguientes acciones:

• Cuando es ejecutado, muestra la siguiente pantalla:
  
  
  
  A pesar de que el usuario acepte el mensaje, este aparece una y otra vez, dejando el ordenador temporalmente bloqueado.
• Abre la bandeja de la unidad de CD/DVD.
• Modifica el fondo de Escritorio y lo sustituye por la siguiente imagen:
  
  
• Modifica los iconos de las carpetas del directorio raíz de las unidades y el fondo de pantalla del Explorador de Windows:
  
  
• Modifica el inicio de Windows, mostrando un mensaje que contiene unos símbolos:
  
  
  En realidad, se trata de caracteres árabes. Sin embargo, si no se dispone del mapa de caracteres árabe, aparecen estos símbolos.
• Cuando se ejecutan archivos con ciertas extensiones, se ejecuta el gusano en lugar de la aplicación asociada a dichas extensiones.
  Las principales extensiones afectadas son:
  - BMP, GIF, JPEG, JPG (imágenes)
  - DLL (Librerías de enlace dinámico)
  - DOC (archivos de Word)
  - RAR (archivos comprimidos)
  - EXE (archivos ejecutables)

Metodo de Infección 

BckPatcher.C crea los siguientes archivos:

• PHOTO1.EXE, en la carpeta photo, creada por él mismo, del directorio Documents and Settings.
• ME.ICO y ME.BMP, en el directorio raíz de todas las unidades. Estos archivos corresponden respectivamente al icono y al fondo de pantalla utilizados por el gusano.

BckPatcher.C modifica las siguientes entradas del Registro de Windows, para conseguir que se ejecute el gusano en lugar de las aplicaciones asociadas a cada una de las entradas. Para ello, sustituye el valor de las siguientes entradas por VIRUS kiss:

• HKEY_CLASSES_ROOT\.application
  (Default) = Application.Manifest
• HKEY_CLASSES_ROOT\.bat
  (Default) = batfile
• HKEY_CLASSES_ROOT\.bmp
  (Default) = Paint.Picture
• HKEY_CLASSES_ROOT\.dll
  (Default) = dllfile
• HKEY_CLASSES_ROOT\.doc
  (Default) = Word.Document.8
• HKEY_CLASSES_ROOT\.gif
  (Default) = giffile
• HKEY_CLASSES_ROOT\.exe
  (Default) = exefile
• HKEY_CLASSES_ROOT\.inf
  (Default) = inffile
• HKEY_CLASSES_ROOT\.ini
  (Default) = inifile
• HKEY_CLASSES_ROOT\.jpeg
  (Default) = jpegfile
• HKEY_CLASSES_ROOT\.jpg
  (Default) = jpegfile
• HKEY_CLASSES_ROOT\.key
  (Default) = keyfile
• HKEY_CLASSES_ROOT\.lnk
  (Default) = lnkfile
• HKEY_CLASSES_ROOT\.log
  (Default) = txtfile
• HKEY_CLASSES_ROOT\.mdb
  (Default) = Access.Application.8
• HKEY_CLASSES_ROOT\.mpeg
  (Default) = mpegfile
• HKEY_CLASSES_ROOT\.mpg
  (Default) = mpegfile
• HKEY_CLASSES_ROOT\.msc
  (Default) = MSCFile
• HKEY_CLASSES_ROOT\.ocx
  (Default) = ocxfile
• HKEY_CLASSES_ROOT\.rar
  (Default) = WinRAR
• HKEY_CLASSES_ROOT\.reg
  (Default) = regfile
• HKEY_CLASSES_ROOT\.sys
  (Default) = sysfile
• HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
  (Default) = "C:\Program Files\Internet Explorer\iexplore.exe" %1
• HKEY_CLASSES_ROOT\Directory
  (Default) = File Folder
• HKEY_CLASSES_ROOT\dllfile
  (Default) = Application Extension

Además, BckPatcher.C modifica las siguientes entradas del Registro de Windows:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  LegalNoticeCaption
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  LegalNoticeCaption = Virus Kiss 2009
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  LegalNoticeText
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
  LegalNoticeText = (data too large: 422 bytes)
  Mediante estas modificaciones, BckPatcher.C muestra el mensaje mencionado previamente cuando se inicia sesión.

Método de Propagación 

BckPatcher.C se propaga a través de las unidades del sistema, tanto mapeadas, como compartidas y extraíbles. Crea una copia de sí mismo con el nombre SEXYGIRLS.EXE en el directorio raíz de todas las unidades. Además, crea un archivo AUTORUN.INF en dichas unidades, para que la copia de sí mismo se ejecute automáticamente cada vez que se acceda a alguna de ellas.

Cuando consigue infectar un ordenador, informa a su creador del éxito de la infección a través de un mensaje de correo electrónico.

Otros Detalles  

BckPatcher.C está escrito en el lenguaje de programación Visual Basic v6. Este gusano tiene un tamaño de 847872 Bytes.