Análisis realizado por : Jasen Sumalapao   
 Alias

Virus:Win32/Virut.BN (Microsoft), W32.Sality!dr (Symantec), W32/Virut.n.gen (NAI), W32/Scribble-B (Sophos), Win32.Virtob.Gen.12 (FSecure), Virus.Win32.Virut.ce.5 (v) (Sunbelt), W32/Virut.AL!Generic (Authentium), Win32.Virtob.Gen.12 (Bitdefender), W32/LPECrypt.A!tr (Fortinet), W32/Virut.AL!Generic (Fprot), Trojan.Sality (Ikarus), Win32/Virut.NBP virus (NOD32), Trojan Sality.dam (Norman), W32/Sality.AK.drp (Panda), Virus.Virut.14 (VBA32)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    File infector

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Puede haberlo instalado manualmente un usuario.

  Detalles técnicos

Tamaño del archivo Varía
Fecha de recepción de las muestras iniciales 25 marzo 2011

Detalles de entrada

Puede haberlo instalado manualmente un usuario.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

  • {%System Root%}\Documents and Settings\All Users\svchost.exe
  • {%System%}\{random characters}.dll

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Este malware inyecta subprocesos en el/los siguiente(s) proceso(s) normal(es):

  • winlogon.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SunJavaUpdateSched = {%System Root%}\Documents and Settings\All Users\svchost.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Explorer
UpdateHost = {random value}

HKEY_USERS\.DEFAULT\Software\
Microsoft\Windows\CurrentVersion\
Internet Settings\Connections
DefaultConnectionSettings = {random value}

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
\??\%System%\winlogon.exe = \??\C:\%System%\winlogon.exe:*:enabled:@shell32.dll,-1