Alias

Otwycal, Wowinzi, Cowya

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Canal de infección Infecta archivos, Se propaga vía unidades extraíbles

Este malware infecta anexando su código a los archivos host de destino.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

  Detalles técnicos

Residente en memoria
Carga útil Compromises system security, Connects to URLs/IPs

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Windows%\Tasks\0x01xx8p.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Infiltra los archivos siguientes:

  • {drive letter}:\MSDOS.bat
  • %Windows%\Tasks\explorer.ext
  • %Windows%\Tasks\spoolsv.ext
  • %Windows%\Tasks\SysFile.brk
  • C:\zzz.sys

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Infección de archivo

Infecta los siguientes tipos de archivo:

  • . To
  • .GHO
  • .asp
  • .aspx
  • .bat
  • .cgi
  • .cmd
  • .do
  • .exe
  • .htm
  • .html
  • .jsp
  • .php
  • .scr
  • .shtm
  • .shtml
  • .xml

Este malware infecta anexando su código a los archivos host de destino.

Evita infectar carpetas que contienen las cadenas siguientes:

  • Program Files

Evita infectar archivos que no usan iconos específicos.

  • qq.exe
  • QQDoctor.exe
  • QQDoctorMain.exe

Propagación

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Access sites
  • Download and execute files
  • Infect files
  • Spread itself via removable drives

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • avp.exe
  • kvsrvxp.exe
  • kissvc.exe

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

  • %System%\windows.txt

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)