Analizzato da: Jennifer Gumban   
 

VBS/Kryptik.N (ESET), UDS:DangerousObject.Multi.Generic (Kaspersky)

 Piattaforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
 Informazioni esposizione: :
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione

Este malware se puede alojar en un sitio Web y ejecutar cuando un usuario accede a dicho sitio Web.

Este malware infiltra copias de sí mismo en la carpeta de inicio común de Windows para permitir su ejecución automática cada vez que se inicia el sistema.

Este malware infiltra copias de sí mismo en todas las unidades extraíbles.

Este malware modifica la configuración de zona de Internet Explorer.

Modifica ciertas entradas del registro para ocultar archivos ocultos.

  Dettagli tecnici

Detalles de entrada

Este malware se puede alojar en un sitio Web y ejecutar cuando un usuario accede a dicho sitio Web.

Instalación

Infiltra los archivos siguientes:

  • %Temp%\system32..exe
  • %Temp%\system32..vb

(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).

)

Infiltra y ejecuta los archivos siguientes:

  • %Temp%\mshta.exe

(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Temp%\{Original File Name}

(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Original File Name} = "%Windows%\system32\wscript.exe /b "%Temp%\{Original File Name}""

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{Original File Name} = "%Windows%\system32\wscript.exe /b "%Temp%\{Original File Name}""

Este malware infiltra copias de sí mismo en la carpeta de inicio común de Windows para permitir su ejecución automática cada vez que se inicia el sistema.

Propagación

Este malware infiltra copias de sí mismo en todas las unidades extraíbles.

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.

Otros detalles

Modifica las siguientes entradas del registro para ocultar archivos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(Note: The default value data of the said registry entry is "1".)