Analizzato da: JasperM   
 Piattaforma:

Windows 2000, XP, Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Worm

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione

Canale infezione: Se propaga vía redes P2P (de igual a igual)

Puede haberlo infiltrado otro malware. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos. No obstante, de este modo no se podrá acceder a los sitios mencionados.

Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Abre un puerto aleatorio para que un usuario remoto pueda conectarse al sistema afectado. Una vez se ha establecido la comunicación correctamente, el usuario remoto ejecuta los comandos en el sistema afectado.

Se conecta a determinados sitios Web para enviar y recibir información.

  Dettagli tecnici

Dimensione file: 510,416 bytes
Tipo di file: PE
Residente in memoria:
Data di ricezione campioni iniziali: 14 settembre 2010
Carica distruttiva: Compromises system security

Detalles de entrada

Puede haberlo infiltrado otro malware.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\csrcs.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
Explorer\Run
csrcs = "%System%\csrcs.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\RunServices
csrcs = "%System%\csrcs.exe"

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe csrcs.exe

(Note: The default value data of the said registry entry is Explorer.exe.)

Otras modificaciones del sistema

Este malware también crea la(s) siguiente(s) entrada(s) de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DRM\amty
ilop = 1

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 2

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
SuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

Propagación

Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Rutina de puerta trasera

Abre un puerto aleatorio para que un usuario remoto pueda conectarse al sistema afectado. Una vez se ha establecido la comunicación correctamente, el usuario remoto ejecuta los comandos en el sistema afectado.

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

  • Ths malware drops copies to shared folders used by the following P2P applications: FrostWir, eMule, Kazaa, LimeWire, and Shareaza DC++ Ares
  • The dropped copies in shared folders are compressed using the following compression: zip and rar
  • It also drops copies in shared folders used by torrents: Adobe Photoshop CS4 Extended Nero 9 Reloaded 9.4.26.0 Microsoft Office Enterprise 2007 Microsoft Windows 7 Ultimate Retail(Final) x86 and x64 WinRAR v3.90 Final WinRAR v4.0 Final WinRAR v5.0 Final LimeWire PRO v5.4.6.1 Final WinZip PRO v14.1 WinZip PRO v15.1 WinZip PRO v16.1 Metro 2033 Proper Battlefield Bad Company 2 Just Cause 2 Assassins Creed 2 Mass_Effect_2 The Sims 3 Final BioShock_2 TuneUp.Utilities.2010.v9.0.3100.22-TE Sony Vegas Pro 9.0c Build 896 [32.64 bit] Command & Conquer 4 Tiberian Twilight Retail Counter-Strike 1.6 v.38 Batman.Arkham.Asylum Pro.Evolution.Soccer.2010 Call of Duty 4 Modern Warfare Call of duty 5 World At War Fallout.3.Game.of.the.Year.Edition Diablo 2 + Diablo 2: Lord Of Destruction Grand Theft Auto Vice City Warhammer 40000 Dawn Of War II Chaos Rising Adobe Flash CS4 Professional Pinnacle Studio 14 HD Ultimate Autodesk AutoCAD 2010 Partition Magic 8 ConvertXtoDVD v4.x Mathworks.Matlab.R2010a Alcohol 120 v2.x Adobe Illustrator CS4 DAEMON Tools Pro Advanced 4.x Rosetta.Stone.V.3.3.5.Plus Aliens Vs Predator Proper Dragon Age Origins Need.For.Speed.Shift This worm connects to the following sites to get the IP and geographical location of the infected system: www.whatismyip.com/automation/n09230945.asp http://geoloc.daiguo.com/?self
  • This malware gathers the following information: User Name Computer Name OS Version OS Service Pack Home Drive Drive Serial OS Language System Directory

Se conecta al sitio Web siguiente para enviar y recibir información:

  • {BLOCKED}e.extasix.com
  • www.{BLOCKED}c0.com
  • {BLOCKED}y.myhome.cx
  • www.{BLOCKED}c0.com.cn