Análisis realizado por : Adrianne Chester Camat   
 Alias

Win32/Xorer (NAI), Virus:Win32/Xorer.gen!A (Microsoft)

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    File infector

  • Destructivo?
    No

  • Cifrado

  • In the Wild:

  Resumen y descripción

Canal de infección Eliminado por otro tipo de malware, Descargado de Internet, Infecta archivos

Antepone sus códigos a los archivos de destino. Infecta determinados tipos de archivos insertando código en dichos archivos.

Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  Detalles técnicos

Tamaño del archivo 94,216 bytes
Tipo de archivo EXE
Residente en memoria
Fecha de recepción de las muestras iniciales 28 Mar 2008
Carga útil Displays ads

Instalación

Infiltra y ejecuta los archivos siguientes:

  • %system%\com\lsass.exe detected as PE_PAGIPEF.BY
  • %system%\com\netcfg.dll detected as TROJ_PAGIPEF.BY
  • %system%\com\netcfg.000 detected as TROJ_PAGIPEF.BY
  • %system%\com\smss.exe detected as TROJ_PAGIPEF.BL

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

  • xcgucvnzn

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\NetApi000

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDriveTypeAutoRun = "91"

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type = "radio"

(Note: The default value data of the said registry entry is checkbox.)

Elimina las siguientes claves de registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Group Policy Objects

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

Infección de archivo

Antepone sus códigos a los archivos de destino.

Infecta los archivos con las siguientes extensiones insertando código en dichos archivos:

  • *.exe

Propagación

Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Rutina de adware

Se conecta a las URL siguientes para descargar y mostrar publicidad:

  • http://js.{BLOCKED}2.com/go.asp
  • http://ww2.js.{BLOCKED}2.com/go.asp
  • http://w.{BLOCKED}o.com/r.htm
  • http://ww38.w.{BLOCKED}o.com/r.htm
  • http://js.{BLOCKED}2.com/01.asp

Otros detalles

Cierra ventanas de aplicaciones que contienen las cadenas siguientes en la barra de título:

  • rav
  • avp
  • twister
  • kv
  • watch
  • kissvc
  • scan
  • guard
  • kmailmon
  • 360¦¦+½
  • lsass.exe
  • smss.exe
  • pagefile.pif
  • dr.web
  • firewall
  • escan
  • mcagent
  • yst
  • afet
  • onit
  • kv
  • monitor
  • ewido
  • bitdefender
  • facelesswndproc
  • avg
  • arp
  • mcafee
  • afx:
  • eset
  • thunderrt6main
  • thunderrt6formdc
  • ThunderRT6Timer
  • antivir
  • tapplication
  • AfxControlBar42s
  • TsuiForm
  • copylock
  • avast
  • ##vso##
  • TPageControl
  • TTabSheet
  • diskgen
  • dummycom
  • xorer
  • ieframe
  • cabinetwclass
  • mozillauiwindowclass
  • metapad
  • AntiVirService
  • AVP
  • KWatchSvc
  • ekrn
  • SymEvent
  • PAVSRV
  • tmmbd
  • McShield
  • RsRavMon
  • EQService
  • KSysMon

  Soluciones

Motor de exploración mínimo 9.300
Primer archivo de patrones de VSAPI 5.192.01
Primera fecha de publicación de patrones de VSAPI 28 de marzo de 2008
Versión de patrones OPR de VSAPI 5.193.00
Fecha de publicación de patrones OPR de VSAPI 31 de marzo de 2008

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Puesto que este malware se basa en la tecnología de rootkits, es posible que su detección y eliminación mediante los métodos de modo normal y seguro no lo elimine del todo. Este procedimiento reinicia el sistema mediante la Consola de recuperación de Windows.

  1. Introduzca el CD de instalación de Windows en la unidad de CD y pulse el botón de reinicio.
  2. Cuando se lo solicite el sistema, pulse cualquier tecla para arrancar desde la unidad de CD.
  3. En el menú principal, escriba la letra r para ir a la Consola de recuperación.
  4. Escriba la unidad que contiene Windows (normalmente C:) y pulse Intro.
  5. En el cuadro de entrada, escriba lo siguiente y pulse Intro:
    del "%System%\Com\lsass.exe"
    del "%System%\Com\smss.exe"
  6. Escriba exit y pulse Intro para reiniciar el sistema con normalidad.

Step 4

Eliminar esta clave del Registro

[ aprenda más ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
    • NetApi000

Step 5

Cómo restaurar las claves de registro eliminadas

  1. Sin moverse del panel izquierdo del Editor del Registro, haga doble clic en el siguiente elemento:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Minimal
  2. Haga clic con el botón derecho del ratón en la clave y seleccione Nuevo>Clave. Cambie el valor de la clave actual por el siguiente:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  3. Haga clic con el botón derecho en el nombre del valor y elija Modificar. Cambie la información de valor de esta entrada a:
    DiskDrive
  4. En el panel izquierdo, haga doble clic en el siguiente elemento:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Network
  5. Haga clic con el botón derecho del ratón en la clave y seleccione Nuevo>Clave. Cambie el valor de la clave actual por el siguiente:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  6. Haga clic con el botón derecho en el nombre del valor y elija Modificar. Cambie la información de valor de esta entrada a:
    DiskDrive
  7. Cierre el Editor del Registro.

Step 6

Restaurar este valor del Registro modificado

[ aprenda más ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: ShowSuperHidden = "0"
      To: ShowSuperHidden = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
    • From: Type = "radio"
      To: Type = "checkbox"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • From: NoDriveTypeAutoRun = "91"
      To: NoDriveTypeAutoRun = "{user defined}"

Step 7

Buscar y eliminar los archivos de AUTORUN.INF creados por PE_PAGIPEF.BY que contienen las siguientes cadenas

[ aprenda más ]
[AutoRun]
open=pagefile.pif
shell\open=[garbage text]
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=[garbage text]
shell\explore\Command=pagefile.pif

Step 8

Explorar el equipo con su producto de Trend Micro para limpiar los archivos detectados como PE_PAGIPEF.BY En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Rellene nuestra encuesta!