Analizzato da: Karl Dominguez   
 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    File infector

  • Distruttivo?:
    No

  • Crittografato?:

  • In the wild::

  Panoramica e descrizione

Canale infezione: Infecta archivos

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Este malware infecta anexando su código a los archivos host de destino.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

  Dettagli tecnici

Dimensione file: 89,355 bytes
Tipo di file: PE
Residente in memoria:
Data di ricezione campioni iniziali: 16 gennaio 2011
Carica distruttiva: Infects files of certain types, Drops files, Terminates processes/services

Detalles de entrada

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

  • %System%\{random characters}.sys - detected as RTKT_WAPOMI.A, rootkit component used by this file infector to hide its files, registry entries, and processes
  • %System Root%\Documents and Settings\Infotmp.txt
  • %System Root%\Users\Infotmp.txt

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\{random numbers}.tmp

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Otras modificaciones del sistema

Elimina las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network

Infección de archivo

Infecta los siguientes tipos de archivo:

  • .EXE

Este malware infecta anexando su código a los archivos host de destino.

Evita infectar carpetas que contienen las cadenas siguientes:

  • Thunder Network
  • Thunder
  • WinRAR
  • WindowsUpdate
  • Windows NT
  • Windows Media Player
  • Outlook Express
  • NetMeeting
  • MSN Gaming Zone
  • Movie Maker
  • Microsoft Frontpage
  • Messenger
  • Internet Explorer
  • InstallShield Installation Information
  • ComPlus Applications
  • Common Files
  • RECYCLER
  • System Volume Information
  • Documents and Settings
  • WinNT
  • Windows

Propagación

Crea las carpetas siguientes en todas las unidades extraíbles:

  • {drive letter}:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

  • {drive letter}:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • RavMonD.exe
  • 360tray.exe
  • MPSVC.exe

Rutina de descarga

No obstante, de este modo no se podrá acceder a los sitios mencionados.

  Soluzioni

Motore di scansione minimo: 8.900
Primo file di pattern VSAPI: 7.772.02
Data di pubblicazione del primo pattern VSAPI: 16 gennaio 2011

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante PE_GWAPOMI.A-O

Step 3

Identificar y eliminar los archivos detectados como PE_GWAPOMI.A-O mediante el disco de inicio o la Consola de recuperación

[ learnMore ]

Step 4

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
    • {application name}

Where {application name} refers to the following:
360SoftMgrSvc.exe
360hotfix.exe
360rp.exe
360rpt.exe
360safe.exe
360safebox.exe
360sd.exe
360se.exe
360speedld.exe
360tray.exe
AvastUI.exe
CCenter.exe
FilMsg.exe
KVMonXP.exe
KVMonXP.kxp
KVSrvXP.exe
MPMon.exe
MPSVC.exe
MPSVC1.exe
MPSVC2.exe
McNASvc.exe
McProxy.exe
McSACore.exe
Mcagent.exe
Mcods.exe
Mcshield.exe
MpfSrv.exe
RavMonD.exe
RavTask.exe
RsAgent.exe
RsTray.exe
ScanFrm.exe
SfCtlCom.exe
SpIDerMl.exe
TMBMSRV.exe
TmProxy.exe
Twister.exe
UfSeAgnt.exe
afwServ.exe
ast.exe
avcenter.exe
avfwsvc.exe
avgnt.exe
avguard.exe
avmailc.exe
avp.exe
avshadow.exe
avwebgrd.exe
bdagent.exe
ccSvcHst.exe
dwengine.exe
egui.exe
ekrn.exe
kavstart.exe
kissvc.exe
kmailmon.exe
kpfw32.exe
kpfwsvc.exe
kpopserver.exe
krnl360svc.exe
ksmgui.exe
ksmsvc.exe
kswebshield.exe
kwatch.exe
kwstray.exe
kxedefend.exe
kxesapp.exe
kxescore.exe
kxeserv.exe
kxetray.exe
livesrv.exe
mcmscsvc.exe
mcsysmon.exe
mcvsshld.exe
msksrver.exe
qutmserv.exe
rsnetsvr.exe
safeboxTray.exe
sched.exe
seccenter.exe
spideragent.exe
spidernt.exe
spiderui.exe
vsserv.exe
zhudongfangyu.exe
ÐÞ¸´¹¤¾ß.exe

Step 5

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • %System Root%\Documents and Settings\Infotmp.txt
  • %System Root%\Users\Infotmp.txt

Step 6

Buscar y eliminar esta carpeta

[ learnMore ]
Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todas las carpetas ocultas.
  • {drive letter}:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}

Step 7

Buscar y eliminar los archivos de AUTORUN.INF creados por PE_GWAPOMI.A-O que contienen las siguientes cadenas

[ learnMore ]
    [AutoRun]
    OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe
    shell\open={random characters}
    shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show
    shell\open\Default=1
    shell\explore={random characters}
    shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\uninstall.exe Show

Step 8

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como PE_GWAPOMI.A-O En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Sondaggio