Ransom_RARLOCK.A

Se ejecuta y, a continuación, se elimina.

Accede a sitios Web para descargar archivos. Esta acción permite que el malware agregue otro tipo de malware en el equipo afectado.

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %Application Data%\Microsoft\Crypto\{random filename}.swf

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Infiltra los archivos siguientes:

• %Application Data%\Microsoft\Crypto\wscript.exe
• %Application Data%\Microsoft\Crypto\wscript.exe.config ← xml file
• %Application Data%\Microsoft\Crypto\comm.txt ← ransom note
• %Application Data%\Microsoft\Crypto\bann.txt ← list of whitelisted directories
• %Application Data%\Microsoft\Crypto\aext.txt ← list of extensions to zip
• %Application Data%\Microsoft\Crypto\rar_{drive letter}.exe ← copy of rar.exe (depends on target drive)
• {Drive}:\All_Your_Documents\All_Your_Documents.rar ← archived files
• {Drive}:\All Your Files in Archive!.txt
• %Desktop%\All_Your_Documents({drive letter}).lnk ← shortcut to archive

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las carpetas siguientes:

• %Application Data%\Microsoft\Crypto

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Se ejecuta y, a continuación, se elimina.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{Serial Number} = "wscript.exe //B {malware full path}"

Rutina de descarga

Accede a sitios Web para descargar los archivos siguientes:

• http://{BLOCKED}ycreative.com/wp-content/plugins/WPSecurity/rar.exe
• http://{BLOCKED}dshowbiznews.com/wp-content/plugins/WPSecurity/rar.exe

Guarda los archivos que descarga con los nombres siguientes:

• %Application Data%\Microsoft\Crypto\rar.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Robo de información

Recopila los siguientes datos:

• Drive volume serial number
• Drives
• User domain
• Computer name
• User name
• System information
• Manufacturer
• Processor
• Physical Memory and RAM
• Printer devices
• Network drives

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://{BLOCKED}dshowbiznews.com/wp-content/plugins/WPSecurity/load.php