Análisis realizado por : Jennifer Gumban   
 Alias

VBS/Kryptik.N (ESET), UDS:DangerousObject.Multi.Generic (Kaspersky)

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Este malware se puede alojar en un sitio Web y ejecutar cuando un usuario accede a dicho sitio Web.

Este malware infiltra copias de sí mismo en la carpeta de inicio común de Windows para permitir su ejecución automática cada vez que se inicia el sistema.

Este malware infiltra copias de sí mismo en todas las unidades extraíbles.

Este malware modifica la configuración de zona de Internet Explorer.

Modifica ciertas entradas del registro para ocultar archivos ocultos.

  Detalles técnicos

Detalles de entrada

Este malware se puede alojar en un sitio Web y ejecutar cuando un usuario accede a dicho sitio Web.

Instalación

Infiltra los archivos siguientes:

  • %Temp%\system32..exe
  • %Temp%\system32..vb

(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).

)

Infiltra y ejecuta los archivos siguientes:

  • %Temp%\mshta.exe

(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Temp%\{Original File Name}

(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Original File Name} = "%Windows%\system32\wscript.exe /b "%Temp%\{Original File Name}""

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{Original File Name} = "%Windows%\system32\wscript.exe /b "%Temp%\{Original File Name}""

Este malware infiltra copias de sí mismo en la carpeta de inicio común de Windows para permitir su ejecución automática cada vez que se inicia el sistema.

Propagación

Este malware infiltra copias de sí mismo en todas las unidades extraíbles.

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.

Otros detalles

Modifica las siguientes entradas del registro para ocultar archivos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(Note: The default value data of the said registry entry is "1".)