Efectos 

Ketawa.A realiza las siguientes acciones:

• Cuando es ejecutado, abre la siguiente ventana de Internet Explorer:
  
  
  
  El contenido del documento es un chiste en indonesio.
• Modifica la configuración del protector de pantalla de tal manera que:
  - cada vez que se activa, se solicita el nombre de usuario y contraseña para iniciar sesión.
  - reduce el tiempo de espera de su activación.
  - el archivo que se ejecuta cuando se activa es una copia de Ketawa.A.
• Impide que se muestren los archivos ocultos.

Metodo de Infección 

Ketawa.A crea los siguientes archivos:

• NETMMC.EXE, PIPES.SCR y TOOTSMAN.EXE, en el directorio de Windows. Estos archivos son copias del troyano.
• BINARY-VALUE.BAT, en el directorio de Inicio. Este archivo se encarga de ejecutar a MONTHYEAR.REG.
• MONTHYEAR.REG, en el directorio de Windows y SPY.REG, en el directorio de sistema de Windows. Estos archivos crean las entradas del Registro de Windows para ejecutar las copias del troyano.
• FLOWER.REG, en la subcarpeta SYSTEM del directorio de Windows. Se encarga de modificar las entradas del Registro de Windows relacionadas con el protector de pantalla.
• SHOW_SCREEN.REG, en la subcarpeta SYSTEM del directorio de Windows. Este archivo abre el documento que muestra el texto en indonesio.
• KETAWA_SAMPE_MABOK.HTM, en la subcarpeta WEB del directorio de Windows. Este archivo corresponde al documento en indonesio.

Ketawa.A crea las siguientes entradas en el Registro de Windows:

• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  user = tootsman.exe
• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  current = netmmc.exe
  Mediante estas entradas, Ketawa.A consigue ejecutarse cada vez que Windows se inicia.

Ketawa.A modifica las siguientes entradas del Registro de Windows:

• HKEY_CURRENT_USER\ Control Panel\ Desktop
  ScreenSaverIsSecure = 1
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Control Panel\ Desktop
  ScreenSaverIsSecure = 0
  De esta manera, Ketawa.A modifica la configuración del protector de pantalla para que cuando se active, sea necesario introducir el nombre de usuario y la contraseña para volver a iniciar sesión.
• HKEY_CURRENT_USER\ Control Panel\ Desktop
  ScreenSaveTimeOut = 600
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Control Panel\ Desktop
  ScreenSaveTimeOut = 180
  Mediante esta modificación, Ketawa.A reduce el tiempo de espera de la activación del protector de pantalla.
• HKEY_CURRENT_USER\ Control Panel\ Desktop
  SCRNSAVE.EXE = logon.scr
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Control Panel\ Desktop
  SCRNSAVE.EXE = pipes.scr
  De esta manera, sustituye el archivo que se ejecuta cuando se activa el protector de pantalla por PIPES.SCR, que es una copia de sí mismo.
• HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  Hidden = 1
  Cambia esta entrada por:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Advanced
  Hidden = 2
  Mediante esta modificación, Ketawa.A impide que se muestren los archivos ocultos.

Método de Propagación 

Ketawa.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles  

Ketawa.A está escrito en el lenguaje de programación Visual Basic v6.0. Este troyano tiene un tamaño de 77824 Bytes.