Análisis realizado por : Nikko Tamana   

 Alias

VBS/DwnLdr-UZE (Sophos)

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Emplea la creación del shell de registro mediante la introducción de determinadas entradas de registro. Esto permite la ejecución de este malware aunque estén abiertas otras aplicaciones.

Modifica la configuración de seguridad de Internet Explorer. Esto pone en gran peligro el equipo afectado, puesto que permite que acceda a URL maliciosas.

  Detalles técnicos

Tamaño del archivo 134,210 bytes
Tipo de archivo VBS
Fecha de recepción de las muestras iniciales 09 Jan 2018

Instalación

Infiltra los archivos siguientes:

  • %ProgramData%\{random letters}\System
  • %ProgramData%\{random numbers}.exe

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %ProgramData%\{random letters}\{random letters}.vbs

Técnica de inicio automático

Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:

HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
ChromeUpdater = %ProgramData%\{random numbers}.exe

Emplea la generación del shell de registro para garantizar su ejecución cuando se accede a determinados tipos de archivo mediante la introducción de las entradas siguientes:

HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas
HasLUAShield = {Default}

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKLM\SOFTWARE\Classes\
{random letters}

HKLM\SOFTWARE\Classes\
{random letters}\shell

HKLM\SOFTWARE\Classes\
{random letters}\shell\open

HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command

HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon

HKLM\SOFTWARE\Classes\
.

HKCU\Software\Vaalberit

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon
{Default} = %1

HKCU\Software\Vaalberit
black = !TEST.EXE!

HKCU\Software
Vaalberit = {random letters}

HKLM\SOFTWARE\Classes\
.exe
{Default} = {random letters}

HKLM\SOFTWARE\Classes\
.
{Default} = exefile

HKCU\Software\Vaalberit
black = 0!0

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Agrega las siguientes entradas y líneas al archivo SYSTEM.INI para permitir su ejecución automática cada vez que se inicia el sistema: $$DATA$$

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

  • %ProgramData%\{random letters}\{random alphanumeric characters}.exe