WORM_COREFLOOD.A
Windows 2000, XP, Server 2003
Tipo di minaccia informatica:
Worm
Distruttivo?:
No
Crittografato?:
Sì
In the wild::
Sì
Panoramica e descrizione
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Dettagli tecnici
Detalles de entrada
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Puede haberse descargado desde los sitios remotos siguientes:
- http://savupdate.{BLOCKED}evalidate.net/ctfup32.rar
- http://health.{BLOCKED}plus.net/ctfup32.rar
Instalación
Infiltra los archivos siguientes:
- %User Temp%\~~{random number}.tmp - also detected as BKDR_OFICLA.AI
- %System%\{random file name}.dat - encrypted data
- %System%\{random file name}.ocx - copy of itself
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CLASSES_ROOT\CLSID\{random CLSID}
(Default) = {random registry value}
HKEY_CLASSES_ROOT\CLSID\{random CLSID}\
InprocServer32
(Default) = %System%\{random file name}.ocx
HKEY_CLASSES_ROOT\CLSID\{random CLSID}\
InprocServer32
ThreadingModel = Apartment
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
ShellIconOverlayIdentifiers\{random key}
(Default) = {random CLSID}
Otros detalles
Según el análisis de los códigos, tiene las siguientes capacidades:
Backdoor Routines
Upon execution, it terminates EXPLORER.EXE and restarts the process with its code injected in it. It then attempts to resolve the host to any of the following servers:
- http://{BLOCKED}ate.licensevalidate.net
- http://{BLOCKED}s.hostfarmville.net
Once a user opens a browser, it will perform a HTTP POST request with the following parameters containing system information:
- http://{malware server}/index.php/r={parameter}&i=&v={version}&os={operating system}&s=&h=&d={parameter}&b={parameter}&u={parameter}&k={parameter}&m={parameter}&panic={parameter}&ie={parameter}&input={parameter}&c={country of affected system}&l={parameter}
It will then expect to receive backdoor commands from the server.
As of writing, the server replies with commands that does the following:
- Assign a unique ID for the bot
- Move a file named "c:\myservice.log" - not present in the system
- Download, execute, and save the file downloaded from the website http://savupdate.{BLOCKED}evalidate.net/login.php as %User Temp%\tmsfoload.exe. Trend Micro detects this executable file as WORM_COREFLOOD.A. As of writing, the downloaded file is an updated copy of itself.
Propagation via Network Shares
- It scans the network for random IP addresses to search for target systems.
- It then attempts to drop and execute the following copy of itself to target IP addresses:
- %Windows%\System\ctfmnt.exe
Download Routine
It downloads a non-malicious component file named rar.exe from its server. It will then use this downloaded file to unpack the next file it will download from the server, ctfup32.rar, which is an archive file containing an updated copy of the malware.
Initially, the malware will save all the downloaded files to the %User Temp% folder. Afterwards, it will install the contents of the archive ctfup32.rar to the %Windows%\System folder.
Information Theft
It monitors certain applications such as the following:
- Firefox
- Opera
- Skype
It logs user keystrokes when affected users visit Web sites with the following strings:
- answer
- challenge
- clave
- codigo
- firma
- identifica
- memorable
- parol
- passphras
- password
- secret
- secur
- segur
Other Details
- %User Temp%\tlmlg1.log
- %User Temp%\tlmlg2.log
- Steal data from HTTPS sessions.
- Read these component files, which are currently not found on systems: ie.dat, input.dat, other.dat, panic.dat.
Soluzioni
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Reiniciar en modo seguro
Step 3
Eliminar las claves de CLSID aleatorias creadas
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
Step 4
Buscar y eliminar este archivo
- %System%\{random file name}.dat
- %User Temp%\ctfup32.rar
- %User Temp%\rar.exe
- %User Temp%\tlmlg1.log
- %User Temp%\tlmlg2.log
Step 5
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como WORM_COREFLOOD.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Step 6
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como WORM_COREFLOOD.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Sondaggio