VBS_KRYPTIK.A
VBS/Kryptik.N (ESET), UDS:DangerousObject.Multi.Generic (Kaspersky)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Este malware se puede alojar en un sitio Web y ejecutar cuando un usuario accede a dicho sitio Web.
Este malware infiltra copias de sí mismo en la carpeta de inicio común de Windows para permitir su ejecución automática cada vez que se inicia el sistema.
Este malware infiltra copias de sí mismo en todas las unidades extraíbles.
Este malware modifica la configuración de zona de Internet Explorer.
Modifica ciertas entradas del registro para ocultar archivos ocultos.
Detalles técnicos
Detalles de entrada
Este malware se puede alojar en un sitio Web y ejecutar cuando un usuario accede a dicho sitio Web.
Instalación
Infiltra los archivos siguientes:
- %Temp%\system32..exe
- %Temp%\system32..vb
(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).
)Infiltra y ejecuta los archivos siguientes:
- %Temp%\mshta.exe
(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).
)Crea las siguientes copias de sí mismo en el sistema afectado:
- %Temp%\{Original File Name}
(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Original File Name} = "%Windows%\system32\wscript.exe /b "%Temp%\{Original File Name}""
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{Original File Name} = "%Windows%\system32\wscript.exe /b "%Temp%\{Original File Name}""
Este malware infiltra copias de sí mismo en la carpeta de inicio común de Windows para permitir su ejecución automática cada vez que se inicia el sistema.
Propagación
Este malware infiltra copias de sí mismo en todas las unidades extraíbles.
Modificación de la página de inicio y de la página de búsqueda del explorador Web
Este malware modifica la configuración de zona de Internet Explorer.
Otros detalles
Modifica las siguientes entradas del registro para ocultar archivos ocultos:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"
(Note: The default value data of the said registry entry is "1".)