Análisis realizado por : Sabrina Lei Sioting   
 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:

  Resumen y descripción

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  Detalles técnicos

Tamaño del archivo 758,272 bytes
Tipo de archivo EXE
Residente en memoria
Fecha de recepción de las muestras iniciales 05 Mar 2009

Detalles de entrada

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System Root%\autorun.pif
  • %Windows%\svchost.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_TRKNETSSVCS\
0000
Service = "TrkNetsSvcs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_TRKNETSSVCS\
0000
DeviceDesc = "Distributed Link Tracking Servers"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_TRKNETSSVCS\
0000\Control
ActiveService = "TrkNetsSvcs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkNetsSvcs
ImagePath = "%Windows%\svchost.exe -netsvcs"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkNetsSvcs
DisplayName = "Distributed Link Tracking Servers"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_TRKNETSSVCS

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\TrkNetsSvcs

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_TRKNETSSVCS\
0000

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%WINDOWS%\svchost.exe = "%WINDOWS%\svchost.exe:*:Enabled:svchost.exe"

Propagación

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

  • autorun.pif

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.