WORM_PROLACO.KA
Windows 2000, XP, Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Este malware infiltra copias de sí mismo en todas las unidades extraíbles. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado. Recopila las direcciones de correo de destino de la libreta de direcciones de Windows.
Oculta archivos, procesos y/o entradas de registro.
Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.
Abre una ventana oculta de Internet Explorer para enviar la información robada a un sitio determinado.
TECHNICAL DETAILS
Detalles de entrada
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %System%\javan.exe
- %System%\javawss.exe
- %User Temp%\javans.exe
- {path of Apache Application}\ms09-067.exe
- {path of Internet information Services}\ms09-067.exe
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:
- javan.exeDm28sf0V@XK$NX8hOu
Técnica de inicio automático
Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Cisco Systems VPN client = "%System%\javawss.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Cisco Systems VPN client = "%System%\javawss.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SunJavaUpdaterv14 = "%System%\javan.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\ {7F2G3GXM-HP26-D7E5-F3LM-82EG3114PI2D}
StubPath = "%System%\javawss.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
japplet3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
japplet3
Este malware modifica la(s) siguiente(s) entrada(s)/clave(s) de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\Software\Microsoft\
WindowsNT\CurrentVersion\SystemRestore
DisableSR = "1"
(Note: The default value data of the said registry entry is "0".)
Este malware también crea la(s) siguiente(s) entrada(s) de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion
(Default) = "{random characters}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
juseful5 = "{month of execution}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
juseful6 = "{day of execution}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UACDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\javan.exe = "%System%\javan.exe:*:Enabled:Explorer"
Propagación
Crea las carpetas siguientes en todas las unidades extraíbles:
- {drive letter}:\RECYCLER
- {drive letter}:\RECYCLER\{SID}
Infiltra una copia de sí mismo en las carpetas siguientes que usan las redes de igual a igual (P2P):
- %Program Files%\bearshare\shared
- %Program Files%\edonkey2000\incoming
- %Program Files%\emule\incoming\
- %Program Files%\grokster\my grokster
- %Program Files%\grokster\my grokster\
- %Program Files%\icq\shared folder\
- %Program Files%\kazaa lite k++\my shared folder
- %Program Files%\kazaa lite\my shared folder
- %Program Files%\kazaa\my shared folder
- %Program Files%\limewire\shared\
- %Program Files%\morpheus\my shared folder\
- %Program Files%\tesla\files\
- %Program Files%\winmx\shared\
- %System Root%\Downloads\
- %User Profile%\My Documents\Frostwire\shared
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).)Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- {drive letter}:\RECYCLER\{SID}\redmond.exe
Este malware infiltra copias de sí mismo en todas las unidades extraíbles.
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Recopila las direcciones de correo de destino de la libreta de direcciones de Windows.
Capacidades de rootkit
Oculta archivos, procesos y/o entradas de registro.
Finalización del proceso
Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:
- AntiVirScheduler
- antivirservice
- APVXDWIN
- Arrakis3
- aswupdsv
- avast
- avast! Antivirus
- avast! Mail Scanner
- avast! Web Scanner
- AVG8_TRA
- avg8emc
- avg8wd
- AVP
- BDAgent
- bdss
- CaCCProvSP
- CAVRID
- ccproxy
- ccpwdsv
- ccsetmg
- cctray
- DrWebSch
- eduler
- egui
- Ehttpsrvekrn
- Emproxy
- ERSvc
- F-PROT Antivirus Tray application
- FPAVServ
- GWMSRV
- ISTray
- K7EmlPxy
- K7RTScan
- K7SystemTray
- K7TSMngr
- K7TSStar
- LIVESRV
- liveupdate
- LiveUpdate Notice Service
- McAfee HackerWatch Service
- McENUI
- mcmisupdmgr
- mcmscsvc
- MCNASVC
- mcODS
- mcpromgr
- mcproxy
- mcredirector
- mcshield
- mcsysmon
- MPFSERVICE
- MPS9
- msk80service
- MskAgentexe
- navapsvc
- npfmntor
- nscservice
- OfficeScanNT Monitor SpamBlocker
- PANDA SOFTWARE CONTROLLER
- PAVFNSVR
- PAVPRSRV
- PAVSVR
- PSHOST
- PSIMSVC
- PSKSVCRE
- RavTask
- RSCCenter
- RSRavMon
- Savadmin
- SAVScan
- Savservice
- sbamsvc
- SBAMTra
- sbamui
- scan
- SCANINICIO
- sdauxservice
- sdcodeservice
- Service
- service
- sndsrvc
- Sophos Autoupdate Service
- Spam Blocker for Outlook Express
- spbbcsvc
- SpIDerMail
- Symantec Core LCccEvtMgr
- TAIL
- ThreatFire
- TPSRV
- VSSERV
- WerSvc
- WinDefend
- Windows Defender
- wscsvc
- XCOMM
Rutina de infiltración
Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:
- %Windows%\mswinsck.dat
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Este malware define los atributos del/de los archivo(s) infiltrado(s) de la siguiente manera:
- Hidden
- Read-Only
- System
Modificar el archivo HOSTS
Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:
- aladdin.com
- authentium.com
- avast.com
- avg.com
- avp.com
- bitdefender.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- eset.com
- ewido.com
- f-secure.com
- free-av.com
- global.ahnlab.com
- grisoft.com
- hispasec.com
- ikarus-software.at
- kaspersky-labs.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- my-etrust.com
- nai.com
- networkassociates.com
- pandasecurity.com
- quickheal.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- us.mcafee.com
- virus-buster.com
- viruslist.com
- virustotal.com
Robo de información
Abre una ventana oculta de Internet Explorer para enviar la información robada al siguiente sitio:
- http://{BLOCKED}kombat.{BLOCKED}ost.org
Otros detalles
Según el análisis de los códigos, tiene las siguientes capacidades:
- May arrive via peer-to-peer network shares.
- Checks for the location of the Windows Address Book by querying the following registry key to gather email addresses:
HKEY_CURRENT_USER\Software\Microsoft\wab\wab4\
{WAB file name} - Searches for email addresses by checking the contents of files having the following extension names which may contain email addresses:
- .txt
- .htm
- .xml
- .php
- .asp
- .dbx
- .log
- .nfo
- .lst
- .wpd
- .wps
- .xls
- .doc
- .wab
- .rtf
- The IP address is used to check for other system information, including the user's current domain name.
- Checks if the system has the Mozilla Thunderbird installed in the affected system.
- Checks for the SMTP server used by this application and use it to send email messages containing a copy of itself to harvested email addresses.
- Checks the following registry entry to check for SMTP server used in the affected system:
- If no SMTP servers was found from the above mentioned routines, it tries to guess the SMTP Simple Mail Transfer Protocol (SMTP) server of the affected system, using the gathered domain name and the following prefixes:
- gate.
- mail.
- mail1.
- mx.
- mx1.
- mxs.
- ns.
- relay.
- smtp.
- It then creates threads that are used to create its own SMTP engine.
- The said engine uses the SMTP servers gathered from the machine and sends the email messages containing a copy of itself to email addresses gathered from the above mentioned routine. The said messages have the following appearance:
- This worm avoids sending email messages to addresses containing the following string(s):
- .gov
- .mil
- acd-group
- acdnet.com
- acdsystems.com
- acketst
- admin
- ahnlab
- alcatel-lucent.com
- anyone
- apache
- arin.
- avg.com
- avira
- badware
- berkeley
- bitdefender
- bluewin.ch
- borlan
- bpsoft.com
- bsd
- bugs
- buyrar.com
- ca
- certific
- cisco
- clamav
- contact
- debian
- drweb
- eset.com
- example
- f-secure
- fido
- firefox
- fsf.
- ghisler.com
- gimp
- gnu
- gold-certs
- gov.
- help
- honeynet
- honeypot
- iana
- ibm.com
- idefense
- ietf
- ikarus
- immunityinc.com
- info
- inpris
- isc.o
- isi.e
- jgsoft
- kaspersky
- kernel
- lavasoft
- linux
- listserv
- mcafee
- me
- messagelabs
- microsoft
- mit.e
- mozilla
- mydomai
- no
- nobody
- nodomai
- noone
- not
- nothing
- novirusthanks
- ntivi
- nullsoft.org
- page
- panda
- pgp
- postmaster
- prevx
- privacy
- qualys
- quebecor.com
- rating
- redhat
- rfc-ed
- root
- ruslis
- sales
- samba
- samples
- secur
- security
- sendmail
- service
- site
- slashdot
- soft
- somebody
- someone
- sopho
- sourceforge
- spam
- ssh.com
- submit
- sun.com
- support
- suse
- syman
- sysinternals
- tanford.e
- the.bat
- unix
- usenet
- utgers.ed
- virus
- virusbuster
- webmaster
- websense
- winamp
- winpcap
- wireshark
- www.ca.com
- you
- your
- It uses the following file name(s) for its dropped copies:
- Absolute Video Converter 6.2.exe
- Ad-aware 2010.exe
- Adobe Acrobat Reader keygen.exe
- Adobe Illustrator CS4 crack.exe
- Adobe Photoshop CS4 crack.exe
- Alcohol 120 v1.9.7.exe
- Anti-Porn v13.5.12.29.exe
- AnyDVD HD v.6.3.1.8 Beta incl crack.exe
- Ashampoo Snap 3.02.exe
- Avast 4.8 Professional.exe
- BitDefender AntiVirus 2010 Keygen.exe
- Blaze DVD Player Pro v6.52.exe
- CleanMyPC Registry Cleaner v6.02.exe
- Daemon Tools Pro 4.11.exe
- Divx Pro 7 + keymaker.exe
- Download Accelerator Plus v9.exe
- Download Boost 2.0.exe
- DVD Tools Nero 10.5.6.0.exe
- G-Force Platinum v3.7.5.exe
- Google SketchUp 7.1 Pro.exe
- Grand Theft Auto IV (Offline Activation).exe
- Image Size Reducer Pro v1.0.1.exe
- Internet Download Manager V5.exe
- K-Lite Mega Codec v5.5.1.exe
- K-Lite Mega Codec v5.6.1 Portable.exe
- Kaspersky AntiVirus 2010 crack.exe
- LimeWire Pro v4.18.3.exe
- Magic Video Converter 8 0 2 18.exe
- McAfee Total Protection 2010.exe
- Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
- Motorola, nokia, ericsson mobil phone tools.exe
- Mp3 Splitter and Joiner Pro v3.48.exe
- Myspace theme collection.exe
- Nero 9 9.2.6.0 keygen.exe
- Norton Anti-Virus 2010 Enterprise Crack.exe
- Norton Internet Security 2010 crack.exe
- PDF password remover (works with all acrobat reader).exe
- PDF to Word Converter 3.0.exe
- PDF Unlocker v2.0.3.exe
- PDF-XChange Pro.exe
- Power ISO v4.2 + keygen axxo.exe
- Rapidshare Auto Downloader 3.8.exe
- RapidShare Killer AIO 2010.exe
- Sophos antivirus updater bypass.exe
- Starcraft2.exe
- Super Utilities Pro 2009 11.0.exe
- Total Commander7 license+keygen.exe
- Trojan Killer v2.9.4173.exe
- Tuneup Ultilities 2010.exe
- Twitter FriendAdder 2.1.1.exe
- VmWare 7.0 keygen.exe
- VmWare keygen.exe
- Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
- Windows 2008 Enterprise Server VMWare Virtual Machine.exe
- Windows 7 Ultimate keygen.exe
- WinRAR v3.x keygen RaZoR.exe
- It queries the following registry entry to get the directory of Internet Information Services and Apache Application:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetStp\
PathWWWRootHKEY_LOCAL_MACHINE\SOFTWARE\Apache Software Foundation\Apache\{application}
ServerRoot = " " - It then drops a copy of itself in the directories as ms09-067.exe. It also drops the file index.htm in the said directories to display the following page upon accessing the servers:
- It deletes the autorun registry values related to AV software from the following key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunThe following are the registry values it deletes:
- AVG8_TRAY
- AVP
- BDAgent
- CAVRID
- DrWebScheduler
- K7SystemTray
- K7TSStart
- OfficeScanNT Monitor
- SBAMTray
- SpIDerMail
- Spam Blocker for Outlook Express
- SpamBlocker
- avast!
- cctray
- egui
- sbamui
- It also deletes files associated with the following registry entry:
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\AVEngine
szInstallDir = "{path}\mcshield.exe"
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Reiniciar en modo seguro
Step 3
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion
- (Default) = {random characters}
- (Default) = {random characters}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
- juseful5 = {month of execution}
- juseful5 = {month of execution}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
- juseful6 = {day of execution}
- juseful6 = {day of execution}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- Cisco Systems VPN client = %System%\javawss.exe
- Cisco Systems VPN client = %System%\javawss.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Cisco Systems VPN client = %System%\javawss.exe
- Cisco Systems VPN client = %System%\javawss.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- SunJavaUpdaterv14 = %System%\javan.exe
- SunJavaUpdaterv14 = %System%\javan.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- UACDisableNotify = 1
- UACDisableNotify = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA = 0
- EnableLUA = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %System%\javan.exe = %System%\javan.exe:*:Enabled:Explorer
- %System%\javan.exe = %System%\javan.exe:*:Enabled:Explorer
Step 4
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft
- japplet3
- japplet3
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
- japplet3
- japplet3
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
- {7F2G3GXM-HP26-D7E5-F3LM-82EG3114PI2D}
- {7F2G3GXM-HP26-D7E5-F3LM-82EG3114PI2D}
Step 5
Buscar y eliminar esta carpeta
- {drive letter}:\RECYCLER
Step 6
Restaurar este valor del Registro modificado
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\SystemRestore
- From: DisableSR = 1
To: DisableSR = 0
- From: DisableSR = 1
Step 7
Eliminar estas cadenas que el malware/grayware/spyware ha añadido al archivo HOSTS
- aladdin.com
- authentium.com
- avast.com
- avg.com
- avp.com
- bitdefender.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- eset.com
- ewido.com
- f-secure.com
- free-av.com
- global.ahnlab.com
- grisoft.com
- hispasec.com
- ikarus-software.at
- kaspersky-labs.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- my-etrust.com
- nai.com
- networkassociates.com
- pandasecurity.com
- quickheal.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- us.mcafee.com
- virus-buster.com
- viruslist.com
- virustotal.com
Step 8
Buscar y eliminar estos archivos
- %Windows%\mswinsck.dat
- {path of Apache}\htdocs\index.htm
- {path of Internet Information Services}\index.htm
Step 9
Buscar y eliminar los archivos de AUTORUN.INF creados por WORM_PROLACO.KA que contienen las siguientes cadenas
open=RECYCLER\{SID}\redmond.exe
icon=ϿstemϿHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1
Step 10
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como WORM_PROLACO.KA En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Step 11
Restaurar este archivo a partir de una copia de seguridad Solo se pueden restaurar los archivos relacionados con Microsoft. En caso de que este malware/grayware/spyware también haya eliminado archivos relativos a programas que no sean de Microsoft, vuelva a instalar los programas en cuestión en el equipo.
- {path}\mcshield.exe
Did this description help? Tell us how we did.