WORM_KOLAB.RL

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System Root%\RECYCLER\{SID}\MsMxEng.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

• %System Root%\RECYCLER\{SID}\Desktop.ini
• {drive letter}:\bar32\desktop.ini

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Este malware inyecta subprocesos en el/los siguiente(s) proceso(s) normal(es):

• Explorer.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion
Taskman = "%System Root%\RECYCLER\{SID}\MsMxEng.exe"

Propagación

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

• {drive letter}:\bar32\bar32.exe

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Envía copias de sí mismo a los destinatarios mediante las siguientes aplicaciones de mensajería instantánea:

• MSN Messenger

Rutina de infiltración

Este malware define los atributos del/de los archivo(s) infiltrado(s) de la siguiente manera:

• Hidden
• Read Only
• System

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

• Propagates through the following P2P applications:
  
  • Kazaa
  • BearShare
  • iMesh
  • Shareaza
  • DC++
  • Emule
  • LimeWire
  • Ares
• Performs denial of service (DoS) attacks on affected systems using SYN flooding
• Drops an AUTORUN.INF file detected as TROJ_OTORUN.RL