Snapper.C

Difusión: Baja Fecha de Alta:15-06-2009
Última Actualización:15-06-2009

Daño: Medio

Dispersibilidad: Medio

Nombre completo: [email protected]

Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [US] - Unidades del sistema (locales, mapeadas, extraíbles).

Alias:W32/Snapper.C.worm (Panda Security)


Infección y efectos


Crea los siguientes ficheros, todos ellos copias de sí mismo:

* %SystemDrive%\Acrobat.exe
* %copias_seguridad%\acrobat.exe
* %UserProfile%\Escritorio\MY FIRTS SEXUAL EXPERIENCIAS.PDF.EXE
* %All_users%\Menú Inicio\Programas\Adobe\Acrobat\ACROBAT DISTILLER.EXE
* %All_users%\Menú Inicio\Programas\Inicio\ACROBATTRAY.EXE

Nota: %SystemDrive% es una variable que hace referencia a la unidad en la que Windows está instalado.
Por defecto es C:

Nota: %Copias_seguridad% es una variable que hace referencia a las copias de seguridad creadas por sí mismo del directorio de Windows.

Nota: %UserProfile% es una variable que hace referencia al directorio del perfil del usuario actual.
Por defecto es C:\Documents and Settings\[- usuario_actual -] (Windows NT/2000/XP).

Nota: %All_users% es una variable que hace referencia al directorio del perfil de todos los usuarios.
Por defecto es C:\Documents and Settings\All Users (Windows NT/2000/XP).

Crea los siguientes ficheros:

* %UserProfile%\Mis documentos\ALL ABOUT WORKS.HTML
* %WinDir%\Backups\***.BMP

Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:\Windows (Windows 95/98/Me/XP) o C:\Winnt (Windows NT/2000).

Los ficheros .BMP que están dentro de la carpeta Backups, son pantallazos tomados cada 9 segundos de la actividad del usuario. El nombre de estos ficheros está compuesto por la fecha y hora en la que se tomó la imagen. Posteriormente estos ficheros se envían al creador del gusano. Es posible que la gran cantidad de ficheros creados por el gusano saturen la capacidad del disco duro del usuario.

Crea el fichero autorun.inf en la carpeta raíz de todos los dispositivos -extraíbles y fijos- para que cada vez que un usuario acceda a cualquiera de estos dispositivos, automáticamente se ejecute una copia del gusano.

Crea las siguientes entradas del registro para permitir ver páginas Web en caracteres extraños, por ejemplo el valor 932 pertenece al japonés, el 936 al chino, 949 al coreano y 950 al chino.

Código:
Clave: HKLM\System\CurrentControlSet\Control\Nls\Codepage
Valor: 932, c_932.nls
Valor: 936, c_936.nls
Valor: 949, c_949.nls
Valor: 950, c_950.nls
Al permitir interpretar caracteres orientales, el gusano puede descargar más fácilmente ficheros maliciosos de sitios Web en esos idiomas.

Se propaga dejando copias de sí mismo en todos los dispositivos que encuentre conectados al ordenador informático, ya sean disposivos fijos, mapeados o extraíbles. En cada uno de estos dispositivos crea dos ficheros: una copia del gusano y un fichero con nombre autorun.inf cuyo cometido es ejecutar la copia del gusano cada vez que se accede a dicho dispositivo.


El fichero con extensión HTML que crea dentro de la carpeta Mis Documentos, muestra un sitio Web con el siguiente texto en inglés:

Código:
Hello Dear User
Your computer have a worm
Don't worry about your datas
Your datas are safe and have no problem
This program is only a text and experience for programming.
Have a nice time.
Thanks and goodbye.
La traducción de este texto es la siguiente:

Estimado usuario
Su ordenador tiene un gusano
No se preocupe por sus datos
Sus datos están seguros y no tienen ningún problema
Este programa es sólo un texto y experimento de programación
Que tenga un buen día
Gracias y adiós.

FUENTE: Alerta-Antivirus.es: Detalles del virus Snapper.C

Eran pocos y nos vienen con esto, no puedo evitar reirme, tengan cuidado