PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Se propaga vía redes compartidas, Descargado de Internet


  TECHNICAL DETAILS

Memory resident: Yes
PAYLOAD: Overwrites files

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\trksvr.exe
  • \{IP address}\ADMIN$\system32\{random file name}.exe
  • \{IP address}\C$\WINDOWS\system32\{random file name}.exe
  • \{IP address}\D$\WINDOWS\system32\{random file name}.exe
  • \{IP address}\E$\WINDOWS\system32\{random file name}.exe
  • \{command-line parameter}\ADMIN$\system32\{random file name}.exe
  • \{command-line parameter}\C$\WINDOWS\system32\{random file name}.exe
  • \{command-line parameter}\D$\WINDOWS\system32\{random file name}.exe
  • \{command-line parameter}\E$\WINDOWS\system32\{random file name}.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ImagePath = "%System\trksvr.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DisplayName = "Distributed Link Tracking Server"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DependOnService = "RpcSs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
DependOnGroup = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkSvr
Description = "Enables the Distributed Link Tracking Client service within the same domain to provide more reliable and efficient maintenance of links within the domain. If this service is disabled, any services that explicitly depend on it will fail to start."

Infiltra los archivos siguientes:

  • %System%\{random file name}.exe
  • %System%\netinit.exe
  • {malware path}\f1.inf
  • {malware path}\f2.inf
  • %System%\Drivers\drdisk.sys
  • %Windows%\inf\netf{4 random characters}.pnf

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)