PE_WAPOMI.S-O
Exploit:Win32/ShellCode.gen!B (Microsoft), W32.Wapomi.C (Symantec), W32/Simfect.dr (McAfee), Trojan.Win32.Wapomi.AO (Sunbelt), Exploit.Win32.ShellCode (Ikarus), Win32/Wapomi.AO (Eset),
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de malware
File infector
Destructivo?
No
Cifrado
Sí
In the Wild:
Sí
Resumen y descripción
Llega tras conectar las unidades extraíbles afectadas a un sistema.
Este malware infecta anexando su código a los archivos host de destino.
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.
Detalles técnicos
Detalles de entrada
Llega tras conectar las unidades extraíbles afectadas a un sistema.
Otras modificaciones del sistema
Elimina las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network
Infección de archivo
Infecta los archivos siguientes:
- .exe
- .exe inside .rar
Este malware infecta anexando su código a los archivos host de destino.
Propagación
Crea las carpetas siguientes en todas las unidades extraíbles:
- recycle.{CLSID}
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- recycle.{CLSID}\uninstall.exe
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Finalización del proceso
Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:
- 360tray.exe
- Explorer.exe
- KSafeTray.exe
- MPMon.exe
- MPSVC.exe
- MPSVC1.exe
- MPSVC2.exe
- RavMonD.exe
- RsAgent.exe
Rutina de infiltración
Infiltra los archivos siguientes:
- %System%\dmlocalsvc.dll - detected as TROJ_HORST.JY
- %System%\{random}.sys - detected as RTKT_WAPOMI.AP, rootkit component used by this file infector to hide its files, registry entries, and processes
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:
- %System Root%\Documents and Settings\Infotmp.txt
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.
Modificar el archivo HOSTS
Sobrescribe los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:
- 127.0.0.1 localhost
Otros detalles
Introduce el siguiente código IFRAME en las páginas Web:
- .html
- .htm
- .asp
- .aspx
Soluciones
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 2
Elimine los archivos de malware que se han introducido/descargado mediante PE_WAPOMI.S-O
- TROJ_HORST.JY
- RTKT_WAPOMI.AP
Step 3
Identificar y eliminar los archivos detectados como PE_WAPOMI.S-O mediante el disco de inicio o la Consola de recuperación
Step 4
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- {exe file}
- {exe file}
Step 5
Buscar y eliminar estas carpetas
Step 6
Buscar y eliminar este archivo
Step 7
Buscar y eliminar los archivos de AUTORUN.INF creados por PE_WAPOMI.S-O que contienen las siguientes cadenas
- [autorun]
- OPEN=recycle.{CLSID}\uninstall.exe
- shell\open=´ò¿ª(&O)
- shell\open\Command=recycle.{CLSID}\uninstall.exe Show
- shell\open\Default=1
- shell\explore=×ÊÔ´¹ÜÀíÆ÷(&X)
- shell\explore\Command=recycle.{CLSID}\uninstall.exe Show
Step 8
Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como PE_WAPOMI.S-O En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Rellene nuestra encuesta!