WORM_KUBFACE.SDH
Worm:Win32/Slenping.AD (Microsoft), W32.Yimfoca.B (Symantec), Win32/Boberog.AZ worm (ESET),
Windows
Tipo di minaccia informatica:
Worm
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Llega tras conectar las unidades extraíbles afectadas a un sistema.
Dettagli tecnici
Detalles de entrada
Llega tras conectar las unidades extraíbles afectadas a un sistema.
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %Application Data%\HEX-5823-6893-6818\jutched.exe - for Windows XP and prior
- %User Profile%\Public\jutched.exe - for Windows Vista and later
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).)Infiltra los archivos siguientes:
- %System%\winrtsnr.txt
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Java Update Manager = "%Application Data%\HEX-5823-6893-6818\jutched.exe" - for Windows XP and prior
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Java Update Manager = "%User Profile%\Public\HEX-5823-6893-6818\jutched.exe" - for Windows Vista and later
Otras modificaciones del sistema
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Application Data%\HEX-5823-6893-6818\jutched.exe = "%Application Data%\HEX-5823-6893-6818\jutched.exe:*:Enabled:Java Update Manager" - for Windows XP and prior
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%User Profile%\Public\HEX-5823-6893-6818\jutched.exe = "%User Profile%\Public\HEX-5823-6893-6818\jutched.exe:*:Enabled:Java Update Manager" - for Windows Vista and later
Propagación
Crea las carpetas siguientes en todas las unidades extraíbles:
- {Drive Letter}:\8585485
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- {Drive Letter}:\8585485\{folder name}s.exe