TROJ_DROPPR.CNMP

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam. Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.

Detalles de entrada

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Instalación

Infiltra los archivos siguientes:

• %Application Data%\Local\Intel\Intel Volume\7za.txt
• %Application Data%\Local\Intel\Intel Volume\code.txt
• %Application Data%\Local\Intel\Intel Volume\icon\excel.ico
• %Application Data%\Local\Intel\Intel Volume\icon\pdf.ico
• %Application Data%\Local\Intel\Intel Volume\icon\ppt.ico
• %Application Data%\Local\Intel\Intel Volume\icon\Thumbs.db
• %Application Data%\Local\Intel\Intel Volume\icon\word.ico
• %Application Data%\Local\Intel\Intel Volume\Information.zip
• %Application Data%\Local\Intel\Intel Volume\IntelRST.zip
• %Application Data%\Local\Intel\Intel Volume\Mono.Cecil.dll
• %Application Data%\Local\Intel\Intel Volume\Stub\do.vine
• %Application Data%\Local\Intel®\{original filename}_Url_uow1tgattnjbm0z1ejzd33plxam4i3vs\1.6.0.0\user.config
• %Application Data%\Local\scout\code.txt
• %Application Data%\Local\scout\Information.zip
• %Application Data%\Local\scout\IntelRST.zip
• {Malware Path}\RELIEF OF CLK (SD).docx

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Este malware infiltra el/los siguiente(s) archivo(s):

• %System%\Tasks\Intel® RST ← scheduled task for IntelRST.exe
• %System%\Tasks\scout ← scheduled task for scout.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea las carpetas siguientes:

• %Application Data%\Local\Intel
• %Application Data%\Local\Intel®
• %Application Data%\Local\scout
• %Application Data%\Local\Intel\Intel Volume\Lab
• %Application Data%\Local\Intel\Intel Volume\z

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Rutina de infiltración

Infiltra los archivos siguientes:

• %Application Data%\Local\Intel\Intel Volume\IntelRST.exe
• %Application Data%\Local\scout\scout.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.