Gusano de Badday rabia en el portapapeles
Badday.Un gusano se propaga principalmente en unidades extraíbles y de red y realiza una serie de acciones molestas en las computadoras infectadas.
Badday.Un gusano crea muchos archivos en computadoras seleccionadas y crea o modifica al menos esa cantidad de entradas en el registro. Estos cambios hacen que el Administrador de tareas de Windows y el Editor del registro sean inaccesibles, entre otras cosas.
En algunos casos, el gusano cierra ventanas y cambia constantemente el contenido del portapapeles, lo que no puede causar molestias al usuario de PC infectado.
Cuando se inicia Badday.A, el gusano realiza las siguientes acciones:
1. Cree los siguientes archivos:
% Windir% \ Media \ StartUp \ scvhost.exe
% Sistema% \ hostdll.exe
% System% \ taskfile.exe
% Windir% \ spool32.exe
% SystemDrive% \ HaveaBadDay.sys
2. Copie los siguientes archivos en la unidad CK:
% unidad es% \ New_Folder.exe
% letra de unidad% \ autorun.inf
% letra de unidad es% \ cool data.exe
% letra de unidad% \ Nueva carpeta (4) .exe
% unidad es% \ dataku.exe
% letra de unidad% \ data kuliah.exe
% letra de unidad% \ Nueva carpeta (5) .exe
% unidad es% \ system.exe
% letra de unidad% \ funny doc.exe
3.Haga copias de sí mismo de la siguiente manera:
% directorio actual% \ jangan dihapus .exe
% directorio actual% \ my sweety .exe
% directorio actual% \ foto cewek .exe
% directorio actual% \ kekasishku .exe
% directorio actual% \ data penting .exe
% directorio actual% \ downlodan .exe
% directorio actual% \ update antivir .exe
% directorio actual% \ programa kumulan .exe
% directorio actual% \ movie bkp .exe
% directorio actual% \\\ itip .exe
% directorio actual% \ opción de carpeta .exe
4. Agregue las siguientes entradas a la base de datos de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile ”NeverShow Ext” = “”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ App Paths \ WindowsProfile.EXE ”(predeterminado)” = “% Windir% \ Media \ StartUp \ scvhost.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policies \ system ”NoFolderOptions” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run "WindowsProfile" = "WindowsProfile Rundll32.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ Run ”Printer Cpl” = “% Windir% \ spool32.exe”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ WindowsNT \ Curren tVersion \ SystemRestore ”DisableConfig” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Policies \ Microsoft \ Windows \ Installer ”DisableMSI” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main ”Window Title” = “>> Que tenga un mal día <<“
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ User Shell Folders "Inicio" = "% Windir% \ Media \ StartUp"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFind” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoFolderOptions” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer “NoRun” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableCMD” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Run "Microsoft Word" = "% System% \ hostdll.exe"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policies \ system ”DisableRegistryTools” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableRegistryTools” = “1”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentV ersion \ policies \ system ”DisableTaskMgr” = “1”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ System ”DisableTaskMgr” = “1”
5. Modifique los siguientes valores en la base de datos de registro:
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile ”(predeterminado)” = “Carpeta de archivos”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile ”TileInfo” = “prop: DocComments”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \ exefile ”InfoTip” = “prop: DocComments”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Classes \\\ egfile \ shell \ open \ command ”(predeterminado)” = “cmd.exe / c para“% 1 ″ ”
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion "RegisteredOrganization" = "su sistema es mío"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion "RegisteredOwner" = "su sistema es mío"
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon ”Shell” = “Explorer.exe, C: \ WINDOWS \ system32 \ taskfile.exe”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced "Oculto" = "2"
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”HideFileExt” = 1 ″
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”ShowSuperHidden” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Explorer \ Advanced ”ClassicViewState” = “0”
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVe rsion \ Policies \ Explorer ”NoDriveTypeAutoRun” = “5B”
6. Busque archivos con las siguientes extensiones:
.doc
. Mpg
.3pg
. Wmv
.rar
.jpg
.TXT
Hace una copia de estos agregando una extensión .exe a los nombres de los archivos.
7. Cierre las ventanas que tengan una de las siguientes palabras en la barra de título:
matar
secuestrar
reg
8. Continúe copiando el texto “Que tenga un mal día” en el portapapeles.
