WORM_HANCITOR.YYSVF

Este malware modifica la configuración de zona de Internet Explorer.

Se conecta a determinados sitios Web para enviar y recibir información. Este malware se elimina tras la ejecución.

Instalación

Infiltra los archivos siguientes:

• {Removable Drive Letter}:\{Shortcut files with the filename of every folder in the removable drive}
  • The malware creates these shortcut files in order to trick the user due to its folder icon and legit filenames.
  • The target path of these shortcuts is set to: %System%\cmd.exe /C ""$RECYCLE.BIN.{GUID}\{GUID}.{pif/cmd}" && explorer "{GUID folder name - where the original files are stored}""

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Este malware se inyecta a sí mismo en los siguientes procesos como parte de su rutina de residencia en memoria:

• iexplore.exe - for Windows 7
• explorer.exe
• svchost.exe - for Windows XP

Propagación

Crea las carpetas siguientes en todas las unidades extraíbles:

• {Removable Drive Letter}:\$RECYCLE.BIN.{GUID} -> set attributes to Hidden

Infiltra copias de sí mismo en las unidades siguientes:

• {Removable Drive Letter}:\$RECYCLE.BIN.{GUID}\{GUID}.{pif/cmd} -> Sets attribute to Hidden

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}lethat.com/h/gate.php
• http://{BLOCKED}hestont.ru/h/gate.php
• http://{BLOCKED}sitont.ru/h/gate.php

Este malware se elimina tras la ejecución.