WORM64_DISTTRACK.SM

Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.

A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %System%\ntssrvr64.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Este malware infiltra el/los siguiente(s) archivo(s):

• %Temp%\key8854321.pub ← contains Public Key
• %System%\Drivers\drdisk.sys

(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).

Infiltra y ejecuta los archivos siguientes:

• %System%\netinit.exe ← used for reporting (damaged)
• %System%\{random filename}.exe ← used to wipe MBR (WORM64_DISTTRACK.SM)
  where {random filename} is any of the following:
  • caclsrv
  • certutl
  • clean
  • ctrl
  • dfrag
  • dnslookup
  • dvdquery
  • event
  • findfile
  • gpget
  • ipsecure
  • iissrv
  • msinit
  • ntfrsutil
  • ntdsutl
  • power
  • rdsadmin
  • regsys
  • sigver
  • routeman
  • rrasrv
  • sacses
  • sfmsc
  • smbinit
  • wcscript
  • ntnw
  • netx
  • fsutl
  • extract

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.

Propagación

Infiltra copias de sí mismo en las carpetas compartidas siguientes:

• ADMIN$
• C$\WINDOWS
• D$\WINDOWS
• E$\WINDOWS

Rutina de infiltración

A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.

Otros detalles

Agrega y ejecuta los servicios siguientes:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
ImagePath = "%System%\ntssrvr64.exe LocalService" or "{malware path and filename} LocalService"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
DisplayName = "Microsoft Network Realtime Inspection Service"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
DependOnService = "RpcSs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
DependOnGroup = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
Description = "Helps guard against time change attempts targeting known and newly discovered vulnerabilities in network time protocols"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanWorkstation
DependOnGroup = ""

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanWorkstation
DependOnService = NtsSrv