WORM_DISTTRACK.SMD
Backdoor.Win32.RemoteConnection.d (Kaspersky)
Windows
Threat Type:
Worm
Destructiveness:
Yes
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.
A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %System%\ntertmgr32.exe - 32 bit system
- %System%\ntertmgr64.exe - 64 bit system
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Este malware infiltra el/los siguiente(s) archivo(s):
- %Temp%\key8854321.pub ← contains Public Key
- %System%\Drivers\Vdsk911.sys
(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Infiltra y ejecuta los archivos siguientes:
- %System%\{comms name} ← used for reporting (WORM_DISTTRACK.SMD)
- where {comms name} is any of the following:
- caiaw00e.exe
- sbuvideo.exe
- caiaw00i.exe
- olvume.exe
- usinwb2.exe
- briaw005.exe
- fpwwlwf.exe
- epiaw003.exe
- briaw002.exe
- olvsnap.exe
- dmwaudio.exe
- briaw006.exe
- miWApRpl.exe
- caiaw00b.exe
- lxiaw003.exe
- %System%\{wiper name} ← used to overwrite the disk(WORM_DISTTRACK.SMD)
- where {wiper name} is any of the following:
- pdwmtphw.exe
- caiaw00a.exe
- sdwprint.exe
- caiaw00d.exe
- kyiaw002.exe
- sdwscdrv.exe
- briaw00a.exe
- saiaw002.exe
- _mvscdsc.exe
- hdvmp32.exe
- _s3wcap32.exe
- hpiaw001.exe
- lxiaw004.exe
- cniaw001.exe
- lxiaw006.exe
- caiaw00f.exe
- newtvsc.exe
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.
Propagación
Infiltra copias de sí mismo en las carpetas compartidas siguientes:
- ADMIN$
- C$\WINDOWS
- D$\WINDOWS
- E$\WINDOWS
Rutina de infiltración
A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.
Otros detalles
Agrega y ejecuta los servicios siguientes:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtertSrv
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtertSrv
ImagePath = "{drop copy} LocalService" or "{malware path and filename} LocalService"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtertSrv
DisplayName = "Extensible Remote Tab"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtertSrv
DependOnService = "RpcSs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtertSrv
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtertSrv
Description = "The Extensible Remote Tab manager service determines the index of current Tab in the general Tab system, Also provides application programming interfaces (APIs) that are used by some other applications. If you disable this service, this computer is prevented from \system32\csrss.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtertSrv
DependOnService = "RpcSs"
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 3
Reiniciar en modo seguro
Step 5
Buscar y eliminar estos archivos
- %Temp%\key8854321.pub
- %System%\Drivers\Vdsk911.sys
- %Windows%\inf\tyb6_s32.pnf
- %Temp%\key8854321.pub
- %System%\Drivers\Vdsk911.sys
- %Windows%\inf\tyb6_s32.pnf
Step 6
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como WORM_DISTTRACK.SMD En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Did this description help? Tell us how we did.