Revois


Gusano que utiliza los recursos compartidos haciendo copias de sí mismo para deshabilitar el sistema y la red.

Difusión: Baja Fecha de Alta:29-05-2009
Última Actualización:29-05-2009

Daño: Medio

Dispersibilidad: Alto

Nombre completo: [email protected]+DE

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003 y Vista
Mecanismo principal de difusión: [SMB+DE] - Se propaga a través de dispositivos de red y extraíbles.
Tamaño (bytes): 79479
Alias:W32/Revois (PerAntivirus), Worm:W32/Revois (F-Secure)

Método de Infección/Efectos

Deshabilita el acceso a unidades de disco, ejecución de antivirus e importantes funciones del Explorador de Windows. Se copia a sí mismo a todos los recursos compartidos dejando inoperativo el sistema y la red. Está desarrollado en Ensamblador con un tamaño de 79479 bytes y cifrado con rutinas propias.

Una vez que llega al sistema, se copia en:

* C:\Autorun.inf
* C:\ntldr~6
* C:\ntldr~8
* C:\RECYCLEP\Pagefile.exe (hidden)
* %Windir%\regedt32.sys
* %Windir%\Sysinf.bat
* %Windir%\Help\HelpCat.exe
* %Windir%\system\KavUpda.exe
* %Windir%\system32\Option.bat
* C:\Documents and Settings\Default User\Templates\excel.exe
* C:\Documents and Settings\Default User\Templates\excel4.exe
* C:\Documents and Settings\Default User\Templates\winword.exe
* %Windir%\system32\ExceRes
* %Windir%\system32\WordRes

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

Para ejecutarse en cada reinicio del sistema utiliza AUNTORUN.INF. Para deshabilitar importantes funciones del Explorador de Windows y la ejecución de unidades de disco realiza los siguientes valores de registro:

Código:
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL

Valor: "CheckedValue" ="dword:00000000"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Valor: NoDriveTypeAutoRun" = "dword:b5

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Valor: "HideFileExt" = "dword:00000001"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Valor: "DisallowRun"= "dword:00000001"

Para deshabilitar la ejecución de antivirus agrega los siguientes valores:

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

Valor: "1"="avp.exe"

Valor: "2"="RfwMain.exe"

Valor: "3"="Rfwsrv.exe"

Valor: "4"="RavMoD.exe"

Valor: "5"="CCenter.exe"

Valor: "6"="RavMon.exe"

Valor: "7"="RavStub.exe"

Valor: "8"="RavService.exe"

Valor: "9"="Rav.exe"

Valor: "10"="rfwcfg.exe"

Valor: "11"="KPFW32.EXE"

Valor: "12"="KPFW32X.EXE"

Valor: "13"="KAVPFW.EXE"

Valor: "14"="KAV32.EXE"

Valor: "15"="KAVStart.EXE"
Para deshabilitar el Editor de Registro y la ejecución de archivos con imágenes agrega los valores:

Código:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced

Valor: "Hidden"= "dword:00000002"

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\Explorer\Advanced

Valor: "SuperHidden" =" dword:00000001"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Image File Execution Options\regedit.exe

Valor: "Debugger"="D:\\RECYCLER\\????8.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Image File Execution Options\RfwMain.exe

Valor: "Debugger"="D:\\RECYCLER\\????8.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Image File Execution Options\Rfwsrv.exe

Valor: "Debugger"="D:\\RECYCLER\\????8.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Image File Execution Options\RavMoD.exe

Valor: "Debugger"="D:\\RECYCLER\\????8.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Image File Execution Options\avp.exe

Valor: "Debugger"="D:\\RECYCLER\\????8.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Image File Execution Options\Rav.exe

Valor: "Debugger"="D:\\RECYCLER\\????8.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Image File Execution Options\360Safe.exe

Valor: "Debugger"="D:\\RECYCLER\\????8.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Image File Execution Options\360tray.exe

Valor: "Debugger"="D:\\RECYCLER\\????8.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT
\CurrentVersion\Image File Execution Options\KAVStart.EXE

Valor: "Debugger"="D:\\RECYCLER\\????8.exe"

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindosNT
\CurrentVersion\Image File Execution Options\taskmgr.exe

Valor: "Debugger"="D:\\RECYCLER\\????8.exe"
Se copia a sí mismo a todos los recursos compartidos del sistema y de la red.

Nota: El hecho de que agregue el valor debugger hace referencia a que se atribuye a si mismo privilegios de depuración, por lo que si se cumplen determinadas condiciones seria capaz de inyectar su código a otros ejecutables y librerías DLL.

Fuente: Alerta-Antivirus.es: Detalles del virus Revois

Suerte a todos