PE_URSNIF.E-O

Instalación

Agrega las carpetas siguientes:

• %Application Data%\{string 1}{string 2}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Application Data%\{string 1}{string 2}\{string 1}{string 2}.exe
• %System%\{string 1}{string 2}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Su componente DLL se inyecta en el(los) siguiente(s) proceso(s):

• explorer.exe
• iexplore.exe
• firefox.exe
• chrome.exe

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\spsrv
DisplayName = "Windows Protection"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\spsrv
ImagePath = "%System%\{string1}{string 2}.exe -k"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\spsrv
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\spsrv
DependOnService = "RPCSS"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\spsrv
Description = "This Windows service enables the download, installation and enforcement of digital licenses for Windows and Windows applications. If the service is disabled, the operating system and licensed applications may run in a notification mode. It is strongly recommended that you not disable the Software Protection service."

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{string 1}{string 2} = "%Application Data%\{string 1}{string 2}\{string 1}{string 2}.exe"

Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\spsrv

Infección de archivo

Infecta los archivos siguientes:

• *.pdf
• *.msi
• *.doc
• *.xls
• *.ppt
• *.docx
• *.xlsx
• *.pptx

  It infects these files found in removable and network drives

  Infected files are detected as PE_URSNIF.E

Propagación

Infiltra copias de sí mismo en las unidades siguientes:

• removable drives
• network drives

Infiltra copias de sí mismo en unidades de red como las siguientes:

• {drive letter}:\{Folder Name}.exe

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

• {drive letter}:\{Folder Name}.exe

Robo de información

Recopila los siguientes datos:

• Running processes and services
• Installed device drivers
• Programs installed
• Screenshots
• System Information (Please see notes for more details)

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}.{BLOCKED}.127.119/pki/mscorp/crl/msitwww2.crl
• http://{BLOCKED}.{BLOCKED}.127.119/pki/mscorp/crl/MSIT%20Machine%20Auth%20CA%202(1).crl