Analizzato da: Sabrina Lei Sioting   

 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Worm

  • Distruttivo?:
    No

  • Crittografato?:
    No

  • In the wild::

  Panoramica e descrizione

Canale infezione: Se copia a sí mismo en todas las unidades lógicas disponibles

Modifica ciertas entradas de registro para ocultar extensiones de archivo.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  Dettagli tecnici

Dimensione file: 6,868 bytes
Tipo di file: VBS
Residente in memoria:
Data di ricezione campioni iniziali: 16 maggio 2011
Carica distruttiva: Modifies system registry, Drops files, Creates files

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %WINDOWS%\mp3-list.vbs

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{blank} = %WINDOWS%\mp3-list.vbs

Otras modificaciones del sistema

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0

(Note: The default value data of the said registry entry is 1.)

Modifica las siguientes entradas de registro para ocultar extensiones de archivo.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

(Note: The default value data of the said registry entry is 0.)

Propagación

Agrega las siguientes carpetas compartidas en las que infiltra copias de sí mismo:

  • mp3-list.vbs

Este malware infiltra las siguientes copias de sí mismo en todas las unidades físicas y extraíbles:

  • mp3-list.vbs

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.