Análisis realizado por : Sabrina Lei Sioting   
 Alias

[Symantec]Trojan Horse; [Microsoft] Virus:Win32/Viking.JB; [Kaspersky] PAK:UPX,ARC:EmbeddedEXE; [Mcafee] W32/Fujacks.az; [Sophos] Mal/Generic-L

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    File infector

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  Detalles técnicos

Tamaño del archivo 3,226,621 bytes
Tipo de archivo EXE
Compresión de archivo UPX
Residente en memoria
Fecha de recepción de las muestras iniciales 02 de junio de 2011

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %system%\drivers\TXPlatform.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Explorer = %system%\drivers\TXPlatform.exe

Otras modificaciones del sistema

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = 0

(Note: The default value data of the said registry entry is 1.)

Infección de archivo

Infecta los siguientes tipos de archivo:

  • .asp
  • .htm
  • .html
  • .exe

Propagación

Este malware crea la siguiente carpeta en todas las unidades físicas y extraíbles:

  • ¡¡¡¡¡¡.exe

Infiltra copias de sí mismo en unidades de red como las siguientes:

  • Cool_GameSetup.exe

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.