Worm.JS.JASCREX.A

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Agrega los procesos siguientes:

• cmd/T: /U /Q /C cd /D {Drive Letter}: && dir /b/s/x *.mpp *.vsdx *.odt *.ods *.odp *.odm *.odc *.odb *.wps *.xlk *.ppt *.pst *.dwg *.dxf *.dxg *.wpd *.doc *.xls *.pdf *.rtf *.txt *.pub >> %TEMP%\tifony.txt
• cmd/T: /U /Q /C copy /Y "{Malware File Directory}\{Malware File Name}" "{Name of the file it will replace}.jse" && del /Q/F "{Name of the file it will replace}"
• wscript /B /E:JScript "%User Temp%\{Random Numbers}.sep"
• cscript /B /E:JScript "%User Temp%\{Random Numbers}.sep"
• rundll32 "{Random Numbers}.com" InitLibrary

Muestra los siguientes mensajes falsos de error:

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

• %User Temp%\{Random Numbers}.red
• %User Temp%\{Random Numbers}.sep
• %User Temp%\{Random Numbers}.com

Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.

Robo de información

Recopila los siguientes datos:

• User Domain
• Computer Name
• User Name

Otros detalles

Hace lo siguiente:

• If it fails to download a file from its C&C Server, it locates for files with the following extensions in shared and removable drives, deletes the file and replaces the deleted file with a copy of itself:
  • .mpp
  • .vsdx
  • .odt
  • .ods
  • .odp
  • .odm
  • .odc
  • .odb
  • .wps
  • .xlk
  • .ppt
  • .pst
  • .dwg
  • .dxf
  • .dxg
  • .wpd
  • .doc
  • .xls
  • .pdf
  • .rtf
  • .txt
  • .pub