Worm.VBS.PSYME.A
Trojan.VBS.Agent.dg(KASPERSKY); VBS/Psyme.b(NAI); W32.SillyFDC(NORTON);
Windows
Tipo de malware
Worm
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Detalles técnicos
Detalles de entrada
It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %Application Data%\Microsoft\Windows\Templates\{malware filename}.vbs
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).
)Infiltra los archivos siguientes:
- {drive letter}:\autorun.inf
- %Application Data%\Microsoft\Windows\Templates\1.exe
- %Application Data%\Microsoft\Windows\Templates\2.exe
- %Application Data%\Microsoft\Windows\Templates\3.exe
- %Application Data%\Microsoft\Windows\Templates\4.exe
- %Application Data%\Microsoft\Windows\Templates\5.exe
- %Application Data%\Microsoft\Windows\Templates\6.exe
- %Application Data%\Microsoft\Windows\Templates\7.exe
- %Application Data%\Microsoft\Windows\Templates\8.exe
- %Application Data%\Microsoft\Windows\Templates\9.exe
- %Application Data%\Microsoft\Windows\Templates\10.exe
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).
)Agrega los procesos siguientes:
- "%System%\attrib.exe" +a +s +h +r "%Application Data%\Microsoft\Windows\Templates\{malware filename}.vbs"
- "%System%\attrib.exe" +a +s +h +r "C:\autorun.inf"
- "%System%\attrib.exe" +a +s +h +r "C:\{malware filename}.vbs"
- "%System%\attrib.exe" +a +s +h +r "D:\autorun.inf"
- "%System%\attrib.exe" +a +s +h +r "D:\{malware filename}.vbs"
- "%System%\attrib.exe" +a +s +h +r "F:\autorun.inf"
- "%System%\attrib.exe" +a +s +h +r "F:\{malware filename}.vbs"
- "%System%\attrib.exe" +a +s +h +r "G:\autorun.inf"
- "%System%\attrib.exe" +a +s +h +r "G:\{malware filename}.vbs"
- "%System%\attrib.exe" -a -s -h -r "C:\autorun.inf"
- "%System%\attrib.exe" -a -s -h -r "D:\autorun.inf"
- "%System%\attrib.exe" -a -s -h -r "F:\autorun.inf"
- "%System%\attrib.exe" -a -s -h -r "G:\autorun.inf"
- "%System%\taskkill.exe" /im 360tray.exe
- "%System%\WScript.exe" "%Desktop%\{malware filename}.vbs"
- "%Windows%\system32\ntvdm.exe" -i1
- "%Windows%\system32\ntvdm.exe" -i2
- "%Windows%\system32\ntvdm.exe" -i3
- "%Windows%\system32\ntvdm.exe" -i4
- "%Windows%\system32\ntvdm.exe" -i5
- "%Windows%\system32\ntvdm.exe" -i6
- "%Windows%\system32\ntvdm.exe" -i7
- "%Windows%\system32\ntvdm.exe" -i8
- "%Windows%\system32\ntvdm.exe" -i9
- "%Windows%\system32\ntvdm.exe" -ia
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).
. %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Escritorio y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\Desktop).. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).)Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
system = wscript.exe "%Application Data%\Microsoft\Windows\Templates\{malware filename}.vbs" t
HKEY_LOCAL_MACHINE\SOFTWARE\MSGNLMSL
start = 351
Propagación
Este malware infiltra las siguientes copias de sí mismo en todas las unidades físicas y extraíbles:
- {drive letter}:\{malware filename}.vbs
Otros detalles
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\MSGNLMSL
It connects to the following possibly malicious URL:
- http://{BLOCKED}l.sh.com/1.exe
- http://{BLOCKED}l.sh.com/2.exe
- http://{BLOCKED}l.sh.com/3.exe
- http://{BLOCKED}l.sh.com/4.exe
- http://{BLOCKED}l.sh.com/5.exe
- http://{BLOCKED}l.sh.com/6.exe
- http://{BLOCKED}l.sh.com/7.exe
- http://{BLOCKED}l.sh.com/8.exe
- http://{BLOCKED}l.sh.com/9.exe
- http://{BLOCKED}l.sh.com/10.exe