WORM_KOLAB.SML

Modifica las entradas de registro para desactivar la configuración del cortafuegos de Windows. Esta acción permite que el malware lleve a cabo sus rutinas sin ser detectado por el cortafuegos de Windows.

Se aprovecha de las vulnerabilidades de software para propagarse por las redes.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Windows%\ggdrive32.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• jng28gdrrg2fcs

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
Microsoft Driver Setup = "%Windows%\ggdrive32.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Microsoft Driver Setup = "%Windows%\ggdrive32.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}:*:%Windows%\ggdrive32.exe"

Modifica las siguientes entradas de registro para desactivar la configuración del cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is 1.)

Propagación

Se aprovecha de las vulnerabilidades de software siguientes para propagarse por las redes:

• Microsoft Security Bulletin MS06-040

Envía copias de sí mismo a los destinatarios mediante las siguientes aplicaciones de mensajería instantánea:

• MSN Messenger

Envía los mensajes siguientes mediante aplicaciones de mensajería instantánea mencionadas anteriormente:

Go fuck yourself

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• 123.COM
• 123.EXE
• 360HOTFIX.EXE
• 360RPT.EXE
• 360SAFE.EXE
• 360TRAY.EXE
• A2GUARD.EXE
• A2HIJACKFREE.EXE
• A2HIJACKFREESETUP.EXE
• A2SCAN.EXE
• A2SERVICE.EXE
• A2START.EXE
• ABREGMON.EXE.EXE
• ACAAS.EXE
• ACAEGMGR.EXE
• ACAIS.EXE
• ACALS.EXE
• ACS.EXE
• AFMAIN.EXE
• AHNSDSV.EXE
• ALERTMAN.EXE
• ALMON.EXE
• ALSVC.EXE
• APM.EXE
• APORTS.EXE
• APT.EXE
• APVXDWIN.EXE
• ARCABIT.CORE.CONFIGURATOR2.EXE
• ARCABIT.CORE.LOGGINGSERVICE.EXE
• ARCACHECK.EXE
• ARCAVIR.EXE
• ASHDISP.EXE
• ASHMAISV.EXE
• ASHSERV.EXE
• ASHWEBSV.EXE
• ASVIEWER.EXE
• ASWCLNR.EXE
• ASWUPDSV.EXE
• ATF-CLEANER.EXE
• AUTORUNS.EXE
• AVCENTER.EXE
• AVENGER.EXE
• AVENGINE.EXE
• AVGAMSVR.EXE
• AVGARKT.EXE
• AVGAS.EXE
• AVGEMC.EXE
• AVGNT.EXE
• AVGSCANX.EXE
• AVGUARD.EXE
• AVGUI.EXE
• AVGUPD.EXE
• AVGUPSVC.EXE
• AVGWDSVC.EXE
• AVINSTALL.EXE
• AVIRARKD.EXE
• AVKPROXY.EXE
• AVKSERVICE.EXE
• AVKTRAY.EXE
• AVKTUNERSERVICE.EXE
• AVKWCTL.EXE
• AVMENU.EXE
• AVZ.EXE
• AYAGENT.AYE
• AYSERVICENT.AYE
• BC5CA6A.EXE
• BDAGENT.EXE
• BDSS.EXE
• BOOTSAFE.EXE
• BOXMOD.EXE
• BUSCAREG.EXE
• CAFW.EXE
• CAGLOBALLIGHT.EXE
• CAPFASEM.EXE
• CAPFUPGRADE.EXE
• CATCHME.EXE
• CATEYE.EXE
• CAVASM.EXE
• CCENTER.EXE
• CCLEANER.EXE
• CCPROVSP.EXE
• CCSETUP210.EXE
• CCTRAY.EXE
• CF9409.EXE
• CFGMNG32.EXE
• CLAMTRAY.EXE
• CLAMWIN.EXE
• CMAIN.EXE
• CMDAGENT.EXE
• COMBOFIX.BAT
• COMBOFIX.COM
• COMBOFIX.EXE
• COMBOFIX.SCR
• COMMAND.COM
• COMPAQ_PROPIETARIO.EXE
• CPF.EXE
• CPORTS.EXE
• CPROCESS.EXE
• CUREIT.EXE
• DAFT.EXE
• DARKSPY105.EXE
• DEFWATCH.EXE
• DELAYDELFILE.EXE
• DLLCOMPARE.EXE
• DRWEB32W.EXE
• DRWEBSCD.EXE
• DUBATOOL_AV_KILLER.EXE
• ELISTA.EXE
• EMLPROUI.EXE
• EMLPROXY.EXE
• EULALYZERSETUP.EXE
• F-PROT.EXE
• F-PROT95.EXE
• F-STOPW.EXE
• FAMEH32.EXE
• FAST.EXE
• FCH32.EXE
• FIH32.EXE
• FILEALYZ.EXE
• FILEFIND.EXE
• FILELOCKSETUP.EXE
• FILEMONSV.EXE
• FIXBAGLE.EXE
• FIXPATH.EXE
• FNRB32.EXE
• FOLDERCURE.EXE
• FP-WIN.EXE
• FPAVSERVER.EXE
• FPORT.EXE
• FPROT.EXE
• FPROTTRAY.EXE
• FPWIN.EXE
• FSAA.EXE
• FSAUA.EXE
• FSAV.EXE
• FSAV32.EXE
• FSAV530STBYB.EXE
• FSAV530WTBYB.EXE
• FSAV95.EXE
• FSB.EXE
• FSBL.EXE
• FSDFWD.EXE
• FSGK32.EXE
• FSGK32ST.EXE
• FSM32.EXE
• FSMA32.EXE
• FSMB32.EXE
• GDFIREWALLTRAY.EXE
• GDFIRE~1.EXE
• GDFWSVC.EXE
• GMER.EXE
• GUARD.EXE
• GUARDXKICKOFF.EXE
• GUARDXSERVICE.EXE
• HACKMON.EXE
• HELIOS.EXE
• HFACSVC.EXE
• HIJACK-THIS.EXE
• HIJACKTHIS.EXE
• HIJACKTHIS_SFX.EXE
• HIJACKTHIS_V2.EXE
• HJ.EXE
• HJTINSTALL.EXE
• HJTSETUP.EXE
• HOOKANLZ.EXE
• HOSTSFILEREADER.EXE
• HOSTSXPERT.EXE
• HPCSVC.EXE
• HSVCMOD.EXE
• ICESWORD.EXE
• IEFIX.EXE
• INICIO.EXE
• INSTALLWATCHPRO25.EXE
• ISSDM_EN_32.EXE
• ITMRTSVC.EXE
• JAJA.EXE
• K7EMLPXY.EXE
• K7FWSRVC.EXE
• K7PSSRVC.EXE
• K7RTSCAN.EXE
• K7SPMSRC.EXE
• K7SYSTRY.EXE
• K7TS_SETUP.EXE
• K7TSECURITY.EXE
• K7TSMNGR.EXE
• KAKASETUPV6.EXE
• KASMAIN.EXE
• KAV.EXE
• KAV32.EXE
• KAVPFW.EXE
• KAVSTART.EXE
• KAVSVC.EXE
• KILLAUTOPLUS.EXE
• KILLBOX.EXE
• KISSVC.EXE
• KPFW32.EXE
• KPFWSVC.EXE
• KVMONXP.KXP
• KVOL.EXE
• KVSRVXP.EXE
• KVXP.KXP
• KWATCH.EXE
• LISTO.EXE
• LIVESRV.EXE
• LORDPE.EXE
• MAKEREPORT.EXE
• MBAM-SETUP.EXE
• MBAM.EXE
• MCAGENT.EXE
• MCSHIELD.EXE
• MCUPDATE.EXE
• MCVSRTE.EXE
• MCVSSHLD.EXE
• MDMCLS32.EXE
• MKS_MAIL.EXE
• MKS_SCAN.EXE
• MKSADMINCONSOLE.EXE
• MKSFWALL.EXE
• MKSPC.EXE
• MKSREGMON.EXE
• MKSTRAY.EXE
• MKSUPDATE.EXE
• MKSVIRMONSVC.EXE
• MMC.EXE
• MRT.EXE
• MRTSTUB.EXE
• MSASCUI.EXE
• MSMPENG.EXE
• MSNCLEANER.EXE
• MSNFIX.EXE
• MYPHOTOKILLER.EXE
• NAVQSCAN.EXE
• NETALYZ.EXE
• NETMONSV.EXE
• NETSTAT.EXE
• NMAIN.EXE
• NOD32.EXE
• NOD32CC.EXE
• NOD32KRN.EXE
• NOD32KUI.EXE
• NOD32M2.EXE
• NPCGREENAGENT.NPC
• NSAVSVC.NPC
• NSPMAIN.EXE
• NSPSVC.EXE
• NSPUPDT.EXE
• NSPUPSVC.EXE
• NSUTILITY.EXE
• NSVMON.NPC
• NTVDM.EXE
• OBJMONSETUP.EXE
• OLLYDBG.EXE
• ONLINENT.EXE
• ONLNSVC.EXE
• OP_MON.EXE
• OTMOVEIT.EXE
• OTMOVEIT3.EXE
• P08PROMO.EXE
• PAVARK.EXE
• PAVBCKPT.EXE
• PAVFNSVR.EXE
• PAVPRSRV.EXE
• PAVSRV51.EXE
• PCTAV.EXE
• PCTAVSVC.EXE
• PCTSAUXS.EXE
• PCTSGUI.EXE
• PCTSSVC.EXE
• PCTSTRAY.EXE
• PENCLEAN.EXE
• PG2.EXE
• PGSETUP.EXE
• PORTDETECTIVE.EXE
• PORTMONITOR.EXE
• PPCLTPRIV.EXE
• PROCDUMP.EXE
• PROCESSMONITOR.EXE
• PROCEXP.EXE
• PROCMON.EXE
• PROJECTWHOISINSTALLER.EXE
• PSCTRLS.EXE
• PSHOST.EXE
• PSIMSVC.EXE
• PSKILL.EXE
• PSKMSSVC.EXE
• PUSCAN.EXE
• PXAGENT.EXE
• PXCONSOLE.EXE
• QHFW332.EXE
• QOELOADER.EXE
• QUHLPSVC.EXE
• RAV.EXE
• RAVLITE.EXE
• RAVMOND.EXE
• RAVP.EXE
• RAVTASK.EXE
• REANIMATOR.EXE
• REG.EXE
• REGALYZ.EXE
• REGCOOL.EXE
• REGEDIT.COM
• REGEDIT.EXE
• REGEDIT.SCR
• REGISTRAR_LITE.EXE
• REGMON.EXE
• REGSCANNER.EXE
• REGSHOT.EXE
• REGUNLOCKER.EXE
• REGX2.EXE
• RKD.EXE
• ROOTALYZER.EXE
• ROOTKIT_DETECTIVE.EXE
• ROOTKITBUSTER.EXE
• ROOTKITNO.EXE
• ROOTKITREVEALER.EXE
• RTVSCAN.EXE
• SAFEBOOTKEYREPAIR.EXE
• SAVADMINSERVICE.EXE
• SAVSERVICE.EXE
• SBAMSVC.EXE
• SBAMTRAY.EXE
• SBAMUI.EXE
• SCANMSG.EXE
• SCANWSCS.EXE
• SCFMANAGER.EXE
• SCFSERVICE.EXE
• SCHED.EXE
• SDFIX.EXE
• SEEM.EXE
• SENSOR.EXE
• SFCTLCOM.EXE
• SPF.EXE
• SPIDERML.EXE
• SPIDERNT.EXE
• SPIDERUI.EXE
• SPYBOTSD.EXE
• SPYBOTSD160.EXE
• SRENGLDR.EXE
• SRENGPS.EXE
• SRESTORE.EXE
• SRVLOAD.EXE
• STARTDRECK.EXE
• STRTSVC.EXE
• SUPERANTISPYWARE.EXE
• SUPERKILLER.EXE
• SVCPRS32.EXE
• SYSANALYZER_SETUP.EXE
• TASKKILL.EXE
• TASKLIST.EXE
• TASKMAN.EXE
• TASKMON.EXE
• TASKSCHEDULER.EXE
• TCPVIEW.EXE
• TEATIMER.EXE
• TISSPWIZ.EXE
• TMBMSRV.EXE
• TMPFW.EXE
• TMPROXY.EXE
• TNBUTIL.EXE
• TPSRV.EXE
• TrendMicro_TISPro_16.1_1063_x32.EXE
• TSCFCOMMANDER.EXE
• TSNTEVAL.EXE
• UFNAVI.EXE
• UFSEAGNT.EXE
• UISCAN.EXE
• ULIBCFG.EXE
• UMXAGENT.EXE
• UMXCFG.EXE
• UMXFWHLP.EXE
• UMXPOL.EXE
• UNHACKME.EXE
• UNIEXTRACT.EXE
• UNLOCKER1.8.7.EXE
• UPDATE.EXE
• UPSCHD.EXE
• VBA32-PERSONAL-LATEST-ENGLISH.EXE
• VBA32ADS.EXE
• VBA32LDR.EXE
• VIPRE.EXE
• VIRUS.EXE
• VIRUSUTILITIES.EXE
• VRFWSVC.EXE
• VRMONNT.EXE
• VRMONSVC.EXE
• VSMON.EXE
• VSSERV.EXE
• WEBPROXY.EXE
• WINDOWS-KB890930-V2.2.EXE
• WIRESHARK.EXE
• WITSETUP.EXE
• XCOMMSVR.EXE
• XP_TASKMGRENAB.EXE
• ZLCLIENT.EXE