WORM_PROLACO.KA

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Este malware infiltra copias de sí mismo en todas las unidades extraíbles. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado. Recopila las direcciones de correo de destino de la libreta de direcciones de Windows.

Oculta archivos, procesos y/o entradas de registro.

Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.

Abre una ventana oculta de Internet Explorer para enviar la información robada a un sitio determinado.

Detalles de entrada

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %System%\javan.exe
• %System%\javawss.exe
• %User Temp%\javans.exe
• {path of Apache Application}\ms09-067.exe
• {path of Internet information Services}\ms09-067.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• javan.exeDm28sf0V@XK$NX8hOu

Técnica de inicio automático

Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Cisco Systems VPN client = "%System%\javawss.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Cisco Systems VPN client = "%System%\javawss.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SunJavaUpdaterv14 = "%System%\javan.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\ {7F2G3GXM-HP26-D7E5-F3LM-82EG3114PI2D}
StubPath = "%System%\javawss.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
japplet3

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
japplet3

Este malware modifica la(s) siguiente(s) entrada(s)/clave(s) de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\Software\Microsoft\
WindowsNT\CurrentVersion\SystemRestore
DisableSR = "1"

(Note: The default value data of the said registry entry is "0".)

Este malware también crea la(s) siguiente(s) entrada(s) de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion
(Default) = "{random characters}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
juseful5 = "{month of execution}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
juseful6 = "{day of execution}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UACDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\javan.exe = "%System%\javan.exe:*:Enabled:Explorer"

Propagación

Crea las carpetas siguientes en todas las unidades extraíbles:

• {drive letter}:\RECYCLER
• {drive letter}:\RECYCLER\{SID}

Infiltra una copia de sí mismo en las carpetas siguientes que usan las redes de igual a igual (P2P):

• %Program Files%\bearshare\shared
• %Program Files%\edonkey2000\incoming
• %Program Files%\emule\incoming\
• %Program Files%\grokster\my grokster
• %Program Files%\grokster\my grokster\
• %Program Files%\icq\shared folder\
• %Program Files%\kazaa lite k++\my shared folder
• %Program Files%\kazaa lite\my shared folder
• %Program Files%\kazaa\my shared folder
• %Program Files%\limewire\shared\
• %Program Files%\morpheus\my shared folder\
• %Program Files%\tesla\files\
• %Program Files%\winmx\shared\
• %System Root%\Downloads\
• %User Profile%\My Documents\Frostwire\shared

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

• {drive letter}:\RECYCLER\{SID}\redmond.exe

Este malware infiltra copias de sí mismo en todas las unidades extraíbles.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Recopila las direcciones de correo de destino de la libreta de direcciones de Windows.

Capacidades de rootkit

Oculta archivos, procesos y/o entradas de registro.

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• AntiVirScheduler
• antivirservice
• APVXDWIN
• Arrakis3
• aswupdsv
• avast
• avast! Antivirus
• avast! Mail Scanner
• avast! Web Scanner
• AVG8_TRA
• avg8emc
• avg8wd
• AVP
• BDAgent
• bdss
• CaCCProvSP
• CAVRID
• ccproxy
• ccpwdsv
• ccsetmg
• cctray
• DrWebSch
• eduler
• egui
• Ehttpsrvekrn
• Emproxy
• ERSvc
• F-PROT Antivirus Tray application
• FPAVServ
• GWMSRV
• ISTray
• K7EmlPxy
• K7RTScan
• K7SystemTray
• K7TSMngr
• K7TSStar
• LIVESRV
• liveupdate
• LiveUpdate Notice Service
• McAfee HackerWatch Service
• McENUI
• mcmisupdmgr
• mcmscsvc
• MCNASVC
• mcODS
• mcpromgr
• mcproxy
• mcredirector
• mcshield
• mcsysmon
• MPFSERVICE
• MPS9
• msk80service
• MskAgentexe
• navapsvc
• npfmntor
• nscservice
• OfficeScanNT Monitor SpamBlocker
• PANDA SOFTWARE CONTROLLER
• PAVFNSVR
• PAVPRSRV
• PAVSVR
• PSHOST
• PSIMSVC
• PSKSVCRE
• RavTask
• RSCCenter
• RSRavMon
• Savadmin
• SAVScan
• Savservice
• sbamsvc
• SBAMTra
• sbamui
• scan
• SCANINICIO
• sdauxservice
• sdcodeservice
• Service
• service
• sndsrvc
• Sophos Autoupdate Service
• Spam Blocker for Outlook Express
• spbbcsvc
• SpIDerMail
• Symantec Core LCccEvtMgr
• TAIL
• ThreatFire
• TPSRV
• VSSERV
• WerSvc
• WinDefend
• Windows Defender
• wscsvc
• XCOMM

Rutina de infiltración

Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:

• %Windows%\mswinsck.dat

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Este malware define los atributos del/de los archivo(s) infiltrado(s) de la siguiente manera:

• Hidden
• Read-Only
• System

Modificar el archivo HOSTS

Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:

• aladdin.com
• authentium.com
• avast.com
• avg.com
• avp.com
• bitdefender.com
• ca.com
• customer.symantec.com
• dispatch.mcafee.com
• download.mcafee.com
• eset.com
• ewido.com
• f-secure.com
• free-av.com
• global.ahnlab.com
• grisoft.com
• hispasec.com
• ikarus-software.at
• kaspersky-labs.com
• kaspersky.com
• liveupdate.symantec.com
• liveupdate.symantecliveupdate.com
• mast.mcafee.com
• mcafee.com
• my-etrust.com
• nai.com
• networkassociates.com
• pandasecurity.com
• quickheal.com
• securityresponse.symantec.com
• sophos.com
• symantec.com
• trendmicro.com
• us.mcafee.com
• virus-buster.com
• viruslist.com
• virustotal.com

Robo de información

Abre una ventana oculta de Internet Explorer para enviar la información robada al siguiente sitio:

• http://{BLOCKED}kombat.{BLOCKED}ost.org

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

• May arrive via peer-to-peer network shares.
• Checks for the location of the Windows Address Book by querying the following registry key to gather email addresses:
  

  HKEY_CURRENT_USER\Software\Microsoft\wab\wab4\
  {WAB file name}

• Searches for email addresses by checking the contents of files having the following extension names which may contain email addresses:
  
  • .txt
  • .htm
  • .xml
  • .php
  • .asp
  • .dbx
  • .log
  • .nfo
  • .lst
  • .wpd
  • .wps
  • .xls
  • .doc
  • .wab
  • .rtf
• The IP address is used to check for other system information, including the user's current domain name.
• Checks if the system has the Mozilla Thunderbird installed in the affected system.
• Checks for the SMTP server used by this application and use it to send email messages containing a copy of itself to harvested email addresses.
• Checks the following registry entry to check for SMTP server used in the affected system:
  
• If no SMTP servers was found from the above mentioned routines, it tries to guess the SMTP Simple Mail Transfer Protocol (SMTP) server of the affected system, using the gathered domain name and the following prefixes:
  
  • gate.
  • mail.
  • mail1.
  • mx.
  • mx1.
  • mxs.
  • ns.
  • relay.
  • smtp.
• It then creates threads that are used to create its own SMTP engine.
• The said engine uses the SMTP servers gathered from the machine and sends the email messages containing a copy of itself to email addresses gathered from the above mentioned routine. The said messages have the following appearance:

  

  

  

  

  

• This worm avoids sending email messages to addresses containing the following string(s):
  
  • .gov
  • .mil
  • acd-group
  • acdnet.com
  • acdsystems.com
  • acketst
  • admin
  • ahnlab
  • alcatel-lucent.com
  • anyone
  • apache
  • arin.
  • avg.com
  • avira
  • badware
  • berkeley
  • bitdefender
  • bluewin.ch
  • borlan
  • bpsoft.com
  • bsd
  • bugs
  • buyrar.com
  • ca
  • certific
  • cisco
  • clamav
  • contact
  • debian
  • drweb
  • eset.com
  • example
  • f-secure
  • fido
  • firefox
  • fsf.
  • ghisler.com
  • gimp
  • gnu
  • gold-certs
  • gov.
  • help
  • honeynet
  • honeypot
  • iana
  • ibm.com
  • idefense
  • ietf
  • ikarus
  • immunityinc.com
  • info
  • inpris
  • isc.o
  • isi.e
  • jgsoft
  • kaspersky
  • kernel
  • lavasoft
  • linux
  • listserv
  • mcafee
  • me
  • messagelabs
  • microsoft
  • mit.e
  • mozilla
  • mydomai
  • no
  • nobody
  • nodomai
  • noone
  • not
  • nothing
  • novirusthanks
  • ntivi
  • nullsoft.org
  • page
  • panda
  • pgp
  • postmaster
  • prevx
  • privacy
  • qualys
  • quebecor.com
  • rating
  • redhat
  • rfc-ed
  • root
  • ruslis
  • sales
  • samba
  • samples
  • secur
  • security
  • sendmail
  • service
  • site
  • slashdot
  • soft
  • somebody
  • someone
  • sopho
  • sourceforge
  • spam
  • ssh.com
  • submit
  • sun.com
  • support
  • suse
  • syman
  • sysinternals
  • tanford.e
  • the.bat
  • unix
  • usenet
  • utgers.ed
  • virus
  • virusbuster
  • webmaster
  • websense
  • winamp
  • winpcap
  • wireshark
  • www.ca.com
  • you
  • your
• It uses the following file name(s) for its dropped copies:
  
  • Absolute Video Converter 6.2.exe
  • Ad-aware 2010.exe
  • Adobe Acrobat Reader keygen.exe
  • Adobe Illustrator CS4 crack.exe
  • Adobe Photoshop CS4 crack.exe
  • Alcohol 120 v1.9.7.exe
  • Anti-Porn v13.5.12.29.exe
  • AnyDVD HD v.6.3.1.8 Beta incl crack.exe
  • Ashampoo Snap 3.02.exe
  • Avast 4.8 Professional.exe
  • BitDefender AntiVirus 2010 Keygen.exe
  • Blaze DVD Player Pro v6.52.exe
  • CleanMyPC Registry Cleaner v6.02.exe
  • Daemon Tools Pro 4.11.exe
  • Divx Pro 7 + keymaker.exe
  • Download Accelerator Plus v9.exe
  • Download Boost 2.0.exe
  • DVD Tools Nero 10.5.6.0.exe
  • G-Force Platinum v3.7.5.exe
  • Google SketchUp 7.1 Pro.exe
  • Grand Theft Auto IV (Offline Activation).exe
  • Image Size Reducer Pro v1.0.1.exe
  • Internet Download Manager V5.exe
  • K-Lite Mega Codec v5.5.1.exe
  • K-Lite Mega Codec v5.6.1 Portable.exe
  • Kaspersky AntiVirus 2010 crack.exe
  • LimeWire Pro v4.18.3.exe
  • Magic Video Converter 8 0 2 18.exe
  • McAfee Total Protection 2010.exe
  • Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
  • Motorola, nokia, ericsson mobil phone tools.exe
  • Mp3 Splitter and Joiner Pro v3.48.exe
  • Myspace theme collection.exe
  • Nero 9 9.2.6.0 keygen.exe
  • Norton Anti-Virus 2010 Enterprise Crack.exe
  • Norton Internet Security 2010 crack.exe
  • PDF password remover (works with all acrobat reader).exe
  • PDF to Word Converter 3.0.exe
  • PDF Unlocker v2.0.3.exe
  • PDF-XChange Pro.exe
  • Power ISO v4.2 + keygen axxo.exe
  • Rapidshare Auto Downloader 3.8.exe
  • RapidShare Killer AIO 2010.exe
  • Sophos antivirus updater bypass.exe
  • Starcraft2.exe
  • Super Utilities Pro 2009 11.0.exe
  • Total Commander7 license+keygen.exe
  • Trojan Killer v2.9.4173.exe
  • Tuneup Ultilities 2010.exe
  • Twitter FriendAdder 2.1.1.exe
  • VmWare 7.0 keygen.exe
  • VmWare keygen.exe
  • Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
  • Windows 2008 Enterprise Server VMWare Virtual Machine.exe
  • Windows 7 Ultimate keygen.exe
  • WinRAR v3.x keygen RaZoR.exe
• It queries the following registry entry to get the directory of Internet Information Services and Apache Application:
  

  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetStp\
  PathWWWRoot

  HKEY_LOCAL_MACHINE\SOFTWARE\Apache Software Foundation\Apache\{application}
  ServerRoot = " "

• It then drops a copy of itself in the directories as ms09-067.exe. It also drops the file index.htm in the said directories to display the following page upon accessing the servers:
  

  

• It deletes the autorun registry values related to AV software from the following key:
  

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
  CurrentVersion\Run

  The following are the registry values it deletes:
  

  • AVG8_TRAY
  • AVP
  • BDAgent
  • CAVRID
  • DrWebScheduler
  • K7SystemTray
  • K7TSStart
  • OfficeScanNT Monitor
  • SBAMTray
  • SpIDerMail
  • Spam Blocker for Outlook Express
  • SpamBlocker
  • avast!
  • cctray
  • egui
  • sbamui
• It also deletes files associated with the following registry entry:
  

  HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\AVEngine
  szInstallDir = "{path}\mcshield.exe"