WORM_DOWNAD.ANM

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Modifica ciertas entradas del registro para ocultar archivos ocultos.

Detalles de entrada

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Instalación

Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:

• %System%\{Random Filename}.dll

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
DisplayName = "Manager Support"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
Type = "32"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
Start = "2"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
ErrorControl = "0"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
ImagePath = "%SystemRoot%\system32\svchost.exe -k netsvcs"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
ObjectName = "LocalSystem"

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}
Description = "Monitors system security settings and configurations."

HKLM\SYSTEM\CurrentControlSet\
Services\{Random}\Parameters
ServiceDll = "%System%\{Random Filename}.dll"

Otras modificaciones del sistema

Modifica las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\BITS
Start = "4"

(Note: The default value data of the said registry entry is "3".)

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(Note: The default value data of the said registry entry is "User Default".)

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
3739:TCP = "3739:TCP:*:Enabled:mdqkva"

Propagación

Crea las carpetas siguientes en todas las unidades extraíbles:

• {Drive Letter}:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

• {Drive Letter}:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\{Random Filename}.{Random Extension}

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Otros detalles

Se conecta a los siguientes servidores de tiempo para determinar la fecha actual:

• w3.org

Modifica las siguientes entradas del registro para ocultar archivos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = "0"

(Note: The default value data of the said registry entry is "1".)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "0"

(Note: The default value data of the said registry entry is "1".)

Realiza solicitudes DNS a los siguientes sitios:

• {Pseudorandom Characters}.ws
• {Pseudorandom Characters}.info
• {Pseudorandom Characters}.cn
• {Pseudorandom Characters}.cc
• {Pseudorandom Characters}.com
• {Pseudorandom Characters}.org
• {Pseudorandom Characters}.biz
• {Pseudorandom Characters}.net