Twittworm.A
PeligrosidadDañoPropagación

Efectos 

Twittworm.A realiza las siguientes acciones:

• Cuando es ejecutado, se conecta a las siguientes páginas web desde las que se descarga una copia de sí mismo:
  http://img049.dlima<bloqueado>k.info:89/img049/3741/%nombre-aleatorio%.zip
  http://1.img-my<bloqueado>ce.info/net/%nombre-aleatorio%.zip
• Impide a los usuarios acceder a páginas web relacionadas con compañías de seguridad informática y buscadores.
• Deshabilita las siguientes opciones:
  - Inicio del sistema en Modo a prueba de fallos. Habitualmente, el malware que está en ejecución en el modo normal, no se ejecuta en este modo.
  - Restauración de sistema, que sirve para devolver el equipo a un estado de funcionamiento anterior. Puede resultar muy útil para deshacer los cambios en el sistema y volver a un punto en el que el ordenador funcionaba correctamente.
• Oculta los archivos y carpetas con atributo oculto para dificultar su detección.

Metodo de Infección 

Twittworm.A crea el archivo WMITCOD.EXE, en el directorio de sistema de Windows. Este archivo es una copia del gusano.

Además, crea un archivo AUTORUN.INF en las unidades extraíbles. De esta manera, la copia del gusano se ejecuta automáticamente cada vez que se accede a alguna de ellas.

Por otra parte, Twittworm.A modifica el archivo HOSTS para que el usuario no pueda acceder a ciertas páginas web, sobre todo, relacionadas con compañías de seguridad informática y buscadores.

Twittworm.A crea las siguientes entradas en el Registro de Windows, para así conseguir ejecutarse cada vez que Windows se inicia:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe
  Debugger = wmitcod.exe
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  ctfmon.exe = ctfmon.exe

Twittworm.A modifica la siguiente entrada del Registro de Windows para impedir que se pueda restaurar el sistema:

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
  DisableConfig = 00, 00, 00, 00
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
  DisableConfig = 01, 00, 00, 00

Twittworm.A modifica las siguientes entradas del Registro de Windows, para desactivar las notificaciones del antivirus y el cortafuegos de Windows:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
  AntiVirusDisableNotify = 00, 00, 00, 00
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
  AntiVirusDisableNotify = 01, 00, 00, 00
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
  FirewallDisableNotify = 00, 00, 00, 00
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
  FirewallDisableNotify = 01, 00, 00, 00
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
  FirewallOverride = 00, 00, 00, 00
  Cambia esta entrada por:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
  FirewallOverride = 01, 00, 00, 00

Además, modifica las siguientes entradas del Registro de Windows para ocultar su presencia y dificultar su detección:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  Hidden = 01, 00, 00, 00
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  Hidden = 02, 00, 00, 00
  Oculta los archivos y carpetas con atributo de oculto.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ SuperHidden
  CheckedValue = 00, 00, 00, 00
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced\ Folder\ SuperHidden
  CheckedValue = 01, 00, 00, 00
  Oculta los archivos ocultos del sistema.

Por otra parte, Twittworm.A elimina todas las entradas del Registro de Windows relacionadas con el inicio del sistema en Modo a Prueba de Fallos, para conseguir dificultar su eliminación.

Método de Propagación 

Twittworm.A utiliza los siguientes medios para propagarse:

1.- Redes sociales y programas de mensajería instantánea

Utiliza redes sociales como Twitter, y programas de mensajería instantánea como MSN Messenger para infectar a los usuarios. Para ello, envía mensajes que contienen un enlace o un archivo adjunto que corresponde al gusano.

Los siguientes son algunos ejemplos:

• Can you believe I'm going here over summer break? Just look at the pic.
• Check this out! This pic is really creepy, but I can't stop staring.
• Do you think I should get my eyebrow pierced? Here is what it will look like.
• Do you think it would be ok if I edited you into this picture with me?
• Does this picture remind you of anyone? I bet it will when you see it. :P
• Ha-Ha this photo is soo hilarious. You've got to see it IMMEDIATELY!
• Ha-Ha this pic is soo funny. Take a look if you dare.
• Have you seen the pic I'm thinking about setting as my default? Does it look good?
• I just found the best picture of us from I've ever seen. Check it out right away!
• I just got a piercing and you'll never guess where! Take a look at the photo. ;)
• I just got my hair cut. Do you think it looks good?
• Should this photo be my default? Or do I look bad in it?
• Someone tagged you in this pic. You need to see it right away.
• Tell me what you think of this pic as soon as you get the chance.
• Tell me what you think of this pic. You are going to laugh so hard.
• This is the sexiest photo I've ever seen! You need to take a look at it.
• This would be a PERFECT background for your computer, here it is.
• We got some bunnies, they are soo CUTE!!! Look at the photo!
• You’re going to be mad at me for sending you this photo, but you NEED to see it :3

2.- Unidades extraíbles

Se propaga realizando copias de sí mismo en las unidades extraíbles. Además, crea un archivo AUTORUN.INF en estas unidades para que la copia del gusano se ejecute automáticamente cada vez que se accede a ellas.

Otros Detalles  

Twittworm.A tiene un tamaño de 221184 Bytes.