Author: Jasen Sumalapao   
 

Virus:Win32/Virut.BN (Microsoft), W32.Sality!dr (Symantec), W32/Virut.n.gen (NAI), W32/Scribble-B (Sophos), Win32.Virtob.Gen.12 (FSecure), Virus.Win32.Virut.ce.5 (v) (Sunbelt), W32/Virut.AL!Generic (Authentium), Win32.Virtob.Gen.12 (Bitdefender), W32/LPECrypt.A!tr (Fortinet), W32/Virut.AL!Generic (Fprot), Trojan.Sality (Ikarus), Win32/Virut.NBP virus (NOD32), Trojan Sality.dam (Norman), W32/Sality.AK.drp (Panda), Virus.Virut.14 (VBA32)

 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    File infector

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Puede haberlo instalado manualmente un usuario.

  TECHNICAL DETAILS

File size: różni się
INITIAL SAMPLES RECEIVED DATE: 25 de marca de 2011

Detalles de entrada

Puede haberlo instalado manualmente un usuario.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

  • {%System Root%}\Documents and Settings\All Users\svchost.exe
  • {%System%}\{random characters}.dll

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Este malware inyecta subprocesos en el/los siguiente(s) proceso(s) normal(es):

  • winlogon.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SunJavaUpdateSched = {%System Root%}\Documents and Settings\All Users\svchost.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer
UpdateHost = {random value}

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings\Connections
DefaultConnectionSettings = {random value}

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = \??\C:\%System%\winlogon.exe:*:enabled:@shell32.dll,-1