WORM_PROLACO.CU

Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

Ejecuta los archivos que infiltra mediante peticiones al sistema afectado, que realiza las rutinas maliciosas que contienen.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System%\NvTaskbarIni.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Nvidia Control Center2 = "%System%\NvTaskbarIni.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Nvideo2

HKEY_LOCAL_MACHINE\Software\Nvideo2

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
nvidia03 = "10"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
nvidia04 = "15"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
DeleteFlag = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
FailureActions = hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,b8,0b,00,00,

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
DeleteFlag = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
FailureActions = hex:0a,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,b8,0b,00,00,

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ERSvc
Start = 4

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = 4

(Note: The default value data of the said registry entry is 2.)

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\\NvTaskbarIni.exe = "%System%\NvTaskbarIni.exe:*:Enabled:Explorer"

Propagación

Crea las carpetas siguientes en todas las unidades extraíbles:

• {Removable Drive}\RECYCLER

Infiltra una copia de sí mismo en las carpetas siguientes que usan las redes de igual a igual (P2P):

• %Program Files%\emule\incoming\
• %Program Files%\grokster\my grokster\
• %Program Files%\icq\shared folder\
• %Program Files%\limewire\shared\
• %Program Files%\morpheus\my shared folder\
• %Program Files%\tesla\files\

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado.

Usa los siguientes nombres de archivo para las copias que infiltra en las redes compartidas:

• AVS Video Converter v6.3.1.365 CRACKED.exe
• Ad-aware 2010.exe
• Adobe Acrobat Reader keygen.exe
• Adobe Illustrator CS4 crack.exe
• Adobe Photoshop CS5 crack.exe
• Alcohol 120 v1.9.7.exe
• Anti-Porn v13.5.12.29.exe
• AnyDVD HD v.6.3.1.8 Beta incl crack.exe
• Ashampoo Snap 3.02.exe
• BitDefender AntiVirus 2010 Keygen.exe
• Blaze DVD Player Pro v6.52.exe
• CleanMyPC Registry Cleaner v6.02.exe
• DVD Tools Nero 10.5.6.0.exe
• Daemon Tools Pro 4.50.exe
• Divx Pro 7 + keymaker.exe
• Download Accelerator Plus v9.exe
• Download Boost 2.0.exe
• G-Force Platinum v3.7.5.exe
• Google SketchUp 7.1 Pro.exe
• Grand Theft Auto Episodes From Liberty City 2010.exe
• Image Size Reducer Pro v1.0.1.exe
• Internet Download Manager V5.exe
• K-Lite Mega Codec v5.5.1.exe
• K-Lite Mega Codec v5.6.1 Portable.exe
• Kaspersky AntiVirus 2010 crack.exe
• LimeWire Pro v4.18.3.exe
• MagicISO Magic ISO Maker v5.5.0276 Cracked.exe
• McAfee Total Protection 2010.exe
• Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
• Motorola, nokia, ericsson mobil phone tools.exe
• Mp3 Splitter and Joiner Pro v3.48.exe
• Myspace theme collection.exe
• Nero 9 9.2.6.0 keygen.exe
• Norton Anti-Virus 2010 crack.exe
• Norton Internet Security 2010 crack.exe
• PDF Unlocker v2.0.3.exe
• PDF password remover (works with all acrobat reader).exe
• PDF to Word Converter 3.0.exe
• PDF-XChange Pro.exe
• Power ISO v4.2 + keygen axxo.exe
• RapidShare Killer AIO 2010.exe
• Rapidshare Auto Downloader 3.8.exe
• Sony Vegas Pro v9.0a incl crack.exe
• Sophos antivirus updater bypass.exe
• Starcraft2 REGION-UNLOCKER.exe
• Starcraft2 SERVER-CHANGER.exe
• Starcraft2 battle.net key generator.exe
• Starcraft2 battle.net keys.txt.exe
• Starcraft2.exe
• Super Utilities Pro 2009 11.0.exe
• Total Commander7 license+keygen.exe
• Trojan Killer v2.9.4173.exe
• Tuneup Ultilities 2010.exe
• Twitter FriendAdder 2.1.1.exe
• Uniblue RegistryBooster 2010.exe
• VmWare 7.0 keygen.exe
• VmWare keygen.exe
• WinRAR v3.x keygen RaZoR.exe
• Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
• Windows 2008 Enterprise Server VMWare Virtual Machine.exe
• Windows 7 Ultimate keygen.exe
• Windows XP PRO Corp SP3 valid-key generator.exe
• Windows2008 keygen and activator.exe
• YouTubeGet 5.4.exe
• Youtube Music Downloader 1.0.exe

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Busca servidores SMTP (Protocolo simple de transferencia de correo) que estén disponibles mediante la introducción de las cadenas siguientes en los nombres de dominio:

• mail.
• smtp.
• mx1.
• mxs.
• mail1.
• relay.
• ns.
• gate.
• mailmx
• mx0

Utiliza su propio motor SMTP (Protocolo simple de transferencia de correo) para enviar mensajes de correo electrónico con descargadores de troyanos o código JavaScript a modo de archivos adjuntos que incluyen los siguientes detalles:

• From:
• e-cards@hallmark.com
• invitations@twitter.com
• invitations@hi5.com
• order-update@amazon.com
• resume-thanks@google.com
• update@facebookmail.com
• Subject:
• You have received A Hallmark E-Card!
• Your friend invited you to Twitter!
• Laura would like to be your friend on hi5!
• Shipping update for your Amazon.com order.
• Thank you from Google!
• You have got a new message on Facebook!

Capacidades de rootkit

Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

Rutina de infiltración

Infiltra los archivos siguientes:

• %Windows%\{random file name}.dll - detected as TROJ_HILOTI.DP
• %System%\NvNcTray.exe - detected as TROJ_HILOTI.DP

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Ejecuta los archivos que infiltra mediante peticiones al sistema afectado, que realiza las rutinas maliciosas que contienen.