Análisis realizado por : Dianne Lagrimas   
 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Canal de infección Se propaga vía unidades extraíbles, Se propaga vía redes compartidas, Se propaga vía correo electrónico

Entra mediante recursos compartidos de igual a igual (P2P). Puede haberlo infiltrado otro malware. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

Ejecuta los archivos que infiltra mediante peticiones al sistema afectado, que realiza las rutinas maliciosas que contienen.

  Detalles técnicos

Tamaño del archivo Varía
Tipo de archivo EXE
Residente en memoria
Fecha de recepción de las muestras iniciales 11 de febrero de 2010
Carga útil Connects to URLs/IPs, Hides files and processes, Terminates processes, Drops files

Detalles de entrada

Entra mediante recursos compartidos de igual a igual (P2P).

Puede haberlo infiltrado otro malware.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\{malware file name}.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las carpetas siguientes:

  • %Application Data%\SystemProc

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%System%\{malware file name}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
{random}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
{random}

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{random} = "%System%\{malware file name}.exe"

Propagación

Infiltra una copia de sí mismo en las carpetas siguientes que usan las redes de igual a igual (P2P):

  • %Program Files%\emule\incoming\
  • %Program Files%\grokster\my grokster\
  • %Program Files%\icq\shared folder\
  • %Program Files%\limewire\shared\
  • %Program Files%\morpheus\my shared folder\
  • %Program Files%\tesla\files\
  • %Program Files%\bearshare\shared\
  • %Program Files%\edonkey2000\incoming\
  • %Program Files%\kazaa lite k++\my shared folder\
  • %Program Files%\kazaa lite\my shared folder\
  • %Program Files%\kazaa\my shared folder\
  • %Program Files%\winmx\shared\
  • %System Root%\Downloads\
  • %User Profile%\My Documents\Frostwire\shared

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado.

Usa los siguientes nombres de archivo para las copias que infiltra en las redes compartidas:

  • AVS Video Converter v6.3.1.365 CRACKED.exe
  • Ad-aware 2010.exe
  • Adobe Acrobat Reader keygen.exe
  • Adobe Illustrator CS4 crack.exe
  • Adobe Photoshop CS5 crack.exe
  • Alcohol 120 v1.9.7.exe
  • Anti-Porn v13.5.12.29.exe
  • AnyDVD HD v.6.3.1.8 Beta incl crack.exe
  • Ashampoo Snap 3.02.exe
  • BitDefender AntiVirus 2010 Keygen.exe
  • Blaze DVD Player Pro v6.52.exe
  • CleanMyPC Registry Cleaner v6.02.exe
  • DVD Tools Nero 10.5.6.0.exe
  • Daemon Tools Pro 4.50.exe
  • Divx Pro 7 + keymaker.exe
  • Download Accelerator Plus v9.exe
  • Download Boost 2.0.exe
  • G-Force Platinum v3.7.5.exe
  • Google SketchUp 7.1 Pro.exe
  • Grand Theft Auto Episodes From Liberty City 2010.exe
  • Image Size Reducer Pro v1.0.1.exe
  • Internet Download Manager V5.exe
  • K-Lite Mega Codec v5.5.1.exe
  • K-Lite Mega Codec v5.6.1 Portable.exe
  • Kaspersky AntiVirus 2010 crack.exe
  • LimeWire Pro v4.18.3.exe
  • MagicISO Magic ISO Maker v5.5.0276 Cracked.exe
  • McAfee Total Protection 2010.exe
  • Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
  • Motorola, nokia, ericsson mobil phone tools.exe
  • Mp3 Splitter and Joiner Pro v3.48.exe
  • Myspace theme collection.exe
  • Nero 9 9.2.6.0 keygen.exe
  • Norton Anti-Virus 2010 crack.exe
  • Norton Internet Security 2010 crack.exe
  • PDF Unlocker v2.0.3.exe
  • PDF password remover (works with all acrobat reader).exe
  • PDF to Word Converter 3.0.exe
  • PDF-XChange Pro.exe
  • Power ISO v4.2 + keygen axxo.exe
  • RapidShare Killer AIO 2010.exe
  • Rapidshare Auto Downloader 3.8.exe
  • Sony Vegas Pro v9.0a incl crack.exe
  • Sophos antivirus updater bypass.exe
  • Starcraft2 REGION-UNLOCKER.exe
  • Starcraft2 SERVER-CHANGER.exe
  • Starcraft2 battle.net key generator.exe
  • Starcraft2 battle.net keys.txt.exe
  • Starcraft2.exe
  • Super Utilities Pro 2009 11.0.exe
  • Total Commander7 license+keygen.exe
  • Trojan Killer v2.9.4173.exe
  • Tuneup Ultilities 2010.exe
  • Twitter FriendAdder 2.1.1.exe
  • Uniblue RegistryBooster 2010.exe
  • VmWare 7.0 keygen.exe
  • VmWare keygen.exe
  • WinRAR v3.x keygen RaZoR.exe
  • Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
  • Windows 2008 Enterprise Server VMWare Virtual Machine.exe
  • Windows 7 Ultimate keygen.exe
  • Windows XP PRO Corp SP3 valid-key generator.exe
  • Windows2008 keygen and activator.exe
  • YouTubeGet 5.4.exe
  • Youtube Music Downloader 1.0.exe

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Busca servidores SMTP (Protocolo simple de transferencia de correo) que estén disponibles mediante la introducción de las cadenas siguientes en los nombres de dominio:

  • gate.
  • mail.
  • mail1.
  • mailmx
  • mx0
  • mx1.
  • mxs.
  • ns.
  • relay.
  • smtp.

Utiliza su propio motor SMTP (Protocolo simple de transferencia de correo) para enviar mensajes de correo electrónico con descargadores de troyanos o código JavaScript a modo de archivos adjuntos que incluyen los siguientes detalles:

  • From:
    • e-cards@hallmark.com
    • invitations@twitter.com
    • invitations@hi5.com
    • order-update@amazon.com
    • resume-thanks@google.com
    • update@facebookmail.com
  • Subject:
    • You have received A Hallmark E-Card!
    • Your friend invited you to Twitter!
    • Laura would like to be your friend on hi5!
    • Shipping update for your Amazon.com order.
    • Thank you from Google!
    • You have got a new message on Facebook!

Evita enviar mensajes de correo electrónico a direcciones que contienen las cadenas siguientes:

  • abuse
  • acd-group
  • acdnet.com
  • acdsystems.com
  • acketst
  • admin
  • ahnlab
  • alcatel-lucent.com
  • anyone
  • apache
  • arin.
  • avg.comsysinternals
  • avira
  • badware
  • berkeley
  • bitdefender
  • bluewin.ch
  • borlan
  • bpsoft.com
  • buyrar.com
  • certific
  • cisco
  • clamav
  • contact
  • debian
  • drweb
  • eset.com
  • example
  • f-secure
  • firefox
  • ghisler.com
  • gold-certs
  • honeynet
  • honeypot
  • ibm.com
  • icrosoft
  • idefense
  • ikarus
  • immunityinc.com
  • inpris
  • isc.o
  • isi.e
  • jgsoft
  • kaspersky
  • kernel
  • lavasoft
  • linux
  • listserv
  • mcafee
  • messagelabs
  • mit.e
  • mozilla
  • mydomai
  • nobody
  • nodomai
  • noone
  • nothing
  • novirusthanks
  • ntivi
  • nullsoft.org
  • panda
  • postmaster
  • prevx
  • privacy
  • qualys
  • quebecor.com
  • rating
  • redhat
  • rfc-ed
  • ruslis
  • sales
  • samba
  • samples
  • secur
  • security
  • sendmail
  • service
  • slashdot
  • somebody
  • someone
  • sopho
  • sourceforge
  • ssh.com
  • submit
  • sun.com
  • support
  • syman
  • tanford.e
  • the.bat
  • usenet
  • utgers.ed
  • virus
  • virusbuster
  • webmaster
  • websense
  • winamp
  • winpcap
  • wireshark
  • www.ca.com

Capacidades de rootkit

Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • APVXDWIN
  • AVG8_TRA
  • AVP
  • AntiVirScheduler
  • Arrakis3
  • BDAgent
  • CAVRID
  • CaCCProvSP
  • DrWebSch
  • ERSvc
  • Ehttpsrvekrn
  • Emproxy
  • F-PROT Antivirus Tray application
  • FPAVServ
  • GWMSRV
  • ISTray
  • K7EmlPxy
  • K7RTScan
  • K7SystemTray
  • K7TSMngr
  • K7TSStar
  • LIVESRV
  • LiveUpdate Notice Service
  • MCNASVC
  • MPFSERVICE
  • MPS9
  • McAfee HackerWatch Service
  • McENUI
  • MskAgentexe
  • OfficeScanNT Monitor SpamBlocker
  • PANDA SOFTWARE CONTROLLER
  • PAVFNSVR
  • PAVPRSRV
  • PAVSVR
  • PSHOST
  • PSIMSVC
  • PSKSVCRE
  • RSCCenter
  • RSRavMon
  • RavTask
  • SAVScan
  • SBAMTra
  • SCANINICIO
  • Savadmin
  • Savservice
  • Service
  • Sophos Autoupdate Service
  • SpIDerMail
  • Spam Blocker for Outlook Express
  • Symantec Core LCccEvtMgr
  • TAIL
  • TPSRV
  • ThreatFire
  • VSSERV
  • WerSvc
  • WinDefend
  • Windows Defender
  • XCOMM
  • antivirservice
  • aswupdsv
  • avast
  • avast! Antivirus
  • avast! Mail Scanner
  • avast! Web Scanner
  • avg8emc
  • avg8wd
  • bdss
  • ccproxy
  • ccpwdsv
  • ccsetmg
  • cctray
  • eduler
  • egui
  • liveupdate
  • mcODS
  • mcmisupdmgr
  • mcmscsvc
  • mcpromgr
  • mcproxy
  • mcredirector
  • mcshield
  • mcsysmon
  • msk80service
  • navapsvc
  • npfmntor
  • nscservice
  • sbamsvc
  • sbamui
  • scan
  • sdauxservice
  • sdcodeservice
  • service
  • sndsrvc
  • spbbcsvc
  • wscsvc

Rutina de infiltración

Infiltra los archivos siguientes:

  • {malware path}\{malware file name}.exe - detected as another malware

Ejecuta los archivos que infiltra mediante peticiones al sistema afectado, que realiza las rutinas maliciosas que contienen.

  Soluciones

Motor de exploración mínimo 9.200
Rellene nuestra encuesta!