Analisado por: Dianne Lagrimas   

 

Dursg, VBInject, Usuge, VBKrypt, Koobfa, Autorun

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Classificao do risco total:
 Potencial de dano:
 Potencial de distribuição:
 infecção relatada:
Baixo
Medium
Alto
Crítico

  • Tipo de grayware:
    Worm

  • Destrutivo:
    Não

  • Criptografado:
     

  • In the Wild:
    Sim

  Visão geral


  Detalhes técnicos

Residente na memória: Sim

Instalao

Ele deixa os seguintes arquivos:

  • %System%\clbcoko.dll
  • %System%\drivers\imapioko.sys
  • %System%\drivers\mrxoko.sys
  • %System%\erokosvc.dll
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome.manifest
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome\content\timer.xul
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\install.rdf
  • %User Temp%\tmp

(Observação: %System% é a pasta de sistema do Windows, que geralmente é C:\Windows\System, no Windows 98 e ME; C:\WINNT\System32, no Windows NT e 2000; ou C:\Windows\System32, no Windows XP e Server 2003).

. %User Profile% é a pasta do perfil do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}, no Windows NT; e C:\Documents and Settings\{nome do usuário}, no Windows 2000, XP e Server 2003.. %User Temp% é a pasta temporária do usuário atual, que geralmente é C:\Documents and Settings\{nome do usuário}\Local Settings\Temp no Windows 2000, XP e Server 2003.)

Ele deixa as seguintes cópias dele mesmo no sistema infectado:

  • %System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe
  • %User Profile%\Application Data\SystemProc\lsass.exe
  • %User Profile%\Application Data\system\svchost.exe
  • %User Profile%\Application Data\system\verona\copy
  • %User Profile%\Application Data\system\verona\load_me.exe
  • %Windows%\ld03.exe
  • %Windows%\ld04.exe
  • {malware folder}\{malware file name}.exe

(Observação: %System Root% é a pasta raiz que, geralmente, é C:\. Também é o local em que se encontra o sistema operacional.. %User Profile% é a pasta do perfil do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}, no Windows NT; e C:\Documents and Settings\{nome do usuário}, no Windows 2000, XP e Server 2003.. %Windows% é a pasta do Windows, que geralmente é C:\Windows ou C:\WINNT).

)

Ele cria as seguintes pastas:

  • %System Root%\Documents and Settings\All Users\Application Data\mplf
  • %User Profile%\Application Data\SystemProc
  • %User Profile%\Application Data\system
  • %User Profile%\Application Data\system\verona
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome
  • %User Profile%\Local Settings\Application Data\{Random CLSID for Firefox}\chrome\content

(Observação: %System Root% é a pasta raiz que, geralmente, é C:\. Também é o local em que se encontra o sistema operacional.. %User Profile% é a pasta do perfil do usuário atual, que geralmente é C:\Windows\Profiles\{nome do usuário}, no Windows 98 e ME; C:\WINNT\Profiles\{nome do usuário}, no Windows NT; e C:\Documents and Settings\{nome do usuário}, no Windows 2000, XP e Server 2003.)

Tcnica de inicializao automtica

Ele adiciona as seguintes entradas de registro para habilitar sua execução automática a cada inicialização do sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
sysldtray = "%Windows%\ld04.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
RTHDBPL = "%User Profile%\Application Data\SystemProc\lsass.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Intel Management Services v32 = "%System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}
StubPath = "%System Root%\Documents and Settings\All Users\Application Data\mplf\mstime32.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
wupd32 = "%User Profile%\Application Data\system\svchost.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
sysldtray = "%Windows%\ld03.exe"

Outras modificaes no sistema

Adiciona estas chaves de registro:

HKEY_CURRENT_USER\Software\Microsoft\
xMyDate

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}

HKEY_CURRENT_USER\Software\verona_4l

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\ql600oko

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\swoko

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\apto6ko

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\cpqoko6

Ele adiciona as seguintes entradas de registro:

HKEY_CURRENT_USER\Identities
Curr version = "{number}"

HKEY_CURRENT_USER\Identities
Last Date = "{date}"

HKEY_CURRENT_USER\Identities
Inst Date = "{date}"

HKEY_CURRENT_USER\Identities
Popup count = "{number}"

HKEY_CURRENT_USER\Identities
Popup time = "{number}"

HKEY_CURRENT_USER\Identities
Popup date = "{number}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Program Files%\internet explorer\iexplore.exe = "%Program Files%\internet explorer\iexplore.exe:*:Enabled:Internet Explorer"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
TI = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
TP = "{number}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
termsvc = "{hex value}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SvcHost
tapisrvs = "{hex value}"