WORM_DORKBOT.CD
Windows 2000, Windows XP, Windows Server 2003
Tipo di minaccia informatica:
Worm
Distruttivo?:
No
Crittografato?:
Sì
In the wild::
Sì
Panoramica e descrizione
Puede haberlo infiltrado otro malware.
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.
Dettagli tecnici
Detalles de entrada
Puede haberlo infiltrado otro malware.
Puede haberse descargado desde los sitios remotos siguientes:
- http://{BLOCKED}le.com/dl/133427805/4e64adb/b1.dat
- http://s217.{BLOCKED}le.com/get/16dd73798d0be89ecd2b93ded050c79e829e5af7/4eaa4d00/2/4e0c5cda66f98382/7f3f25d/b1.dat
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %User Profile%\Application Data\{random characters}.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "%User Profile%\Application Data\{malware file name}.exe"
Propagación
Crea las carpetas siguientes en todas las unidades extraíbles:
- {drive letter}:\RECYCLER
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- {drive letter}:\RECYCLER\{random characters}.exe
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Capacidades de rootkit
Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.
Rutina de descarga
Este malware descarga una copia actualizada de sí mismo desde el/los siguiente(s) sitio(s) Web:
- http://{BLOCKED}e.com/dl/133427805/4e64adb/b1.dat
- http://{BLOCKED}7.hotfile.com/get/5734caeab7c19f1f61af2c2efbaa844650c3a74f/4eaa2a70/2/4e0c5cda66f98382/7f3f25d/b1.dat