VBS_DLOADR.YYSVC
VBS/DwnLdr-UZE (Sophos)
Windows
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Emplea la creación del shell de registro mediante la introducción de determinadas entradas de registro. Esto permite la ejecución de este malware aunque estén abiertas otras aplicaciones.
Modifica la configuración de seguridad de Internet Explorer. Esto pone en gran peligro el equipo afectado, puesto que permite que acceda a URL maliciosas.
Detalles técnicos
Instalación
Infiltra los archivos siguientes:
- %ProgramData%\{random letters}\System
- %ProgramData%\{random numbers}.exe
Crea las siguientes copias de sí mismo en el sistema afectado:
- %ProgramData%\{random letters}\{random letters}.vbs
Técnica de inicio automático
Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:
HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
ChromeUpdater = %ProgramData%\{random numbers}.exe
Emplea la generación del shell de registro para garantizar su ejecución cuando se accede a determinados tipos de archivo mediante la introducción de las entradas siguientes:
HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas
HasLUAShield = {Default}
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKLM\SOFTWARE\Classes\
{random letters}
HKLM\SOFTWARE\Classes\
{random letters}\shell
HKLM\SOFTWARE\Classes\
{random letters}\shell\open
HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas
HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command
HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon
HKLM\SOFTWARE\Classes\
.
HKCU\Software\Vaalberit
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon
{Default} = %1
HKCU\Software\Vaalberit
black = !TEST.EXE!
HKCU\Software
Vaalberit = {random letters}
HKLM\SOFTWARE\Classes\
.exe
{Default} = {random letters}
HKLM\SOFTWARE\Classes\
.
{Default} = exefile
HKCU\Software\Vaalberit
black = 0!0
Modificación de la página de inicio y de la página de búsqueda del explorador Web
Agrega las siguientes entradas y líneas al archivo SYSTEM.INI para permitir su ejecución automática cada vez que se inicia el sistema: $$DATA$$
Rutina de descarga
Guarda los archivos que descarga con los nombres siguientes:
- %ProgramData%\{random letters}\{random alphanumeric characters}.exe