Análisis realizado por : Roland Marco Dela Paz   
 Plataforma:

Windows 2000, XP, Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado

  • In the Wild:

  Resumen y descripción

Canal de infección Se propaga vía redes P2P (de igual a igual)

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

  Detalles técnicos

Ports Used Varies
Tamaño del archivo Varía
Tipo de archivo PE
Residente en memoria
Fecha de recepción de las muestras iniciales 30 Oct 2010
Carga útil Compromises system security, Steals information

Detalles de entrada

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Puede haberse descargado desde los sitios remotos siguientes:

  • http://savupdate.{BLOCKED}evalidate.net/ctfup32.rar
  • http://health.{BLOCKED}plus.net/ctfup32.rar

Instalación

Infiltra los archivos siguientes:

  • %User Temp%\~~{random number}.tmp - also detected as BKDR_OFICLA.AI
  • %System%\{random file name}.dat - encrypted data
  • %System%\{random file name}.ocx - copy of itself

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CLASSES_ROOT\CLSID\{random CLSID}
(Default) = {random registry value}

HKEY_CLASSES_ROOT\CLSID\{random CLSID}\
InprocServer32
(Default) = %System%\{random file name}.ocx

HKEY_CLASSES_ROOT\CLSID\{random CLSID}\
InprocServer32
ThreadingModel = Apartment

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
ShellIconOverlayIdentifiers\{random key}
(Default) = {random CLSID}

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

  • Backdoor Routines

    Upon execution, it terminates EXPLORER.EXE and restarts the process with its code injected in it. It then attempts to resolve the host to any of the following servers:

    • http://{BLOCKED}ate.licensevalidate.net
    • http://{BLOCKED}s.hostfarmville.net

    Once a user opens a browser, it will perform a HTTP POST request with the following parameters containing system information:

    • http://{malware server}/index.php/r={parameter}&i=&v={version}&os={operating system}&s=&h=&d={parameter}&b={parameter}&u={parameter}&k={parameter}&m={parameter}&panic={parameter}&ie={parameter}&input={parameter}&c={country of affected system}&l={parameter}

    It will then expect to receive backdoor commands from the server.

    As of writing, the server replies with commands that does the following:

    • Assign a unique ID for the bot
    • Move a file named "c:\myservice.log" - not present in the system
    • Download, execute, and save the file downloaded from the website http://savupdate.{BLOCKED}evalidate.net/login.php as %User Temp%\tmsfoload.exe. Trend Micro detects this executable file as WORM_COREFLOOD.A. As of writing, the downloaded file is an updated copy of itself.

  • Propagation via Network Shares

    • It scans the network for random IP addresses to search for target systems.
    • It then attempts to drop and execute the following copy of itself to target IP addresses:
    • %Windows%\System\ctfmnt.exe

  • Download Routine

    It downloads a non-malicious component file named rar.exe from its server. It will then use this downloaded file to unpack the next file it will download from the server, ctfup32.rar, which is an archive file containing an updated copy of the malware.

    Initially, the malware will save all the downloaded files to the %User Temp% folder. Afterwards, it will install the contents of the archive ctfup32.rar to the %Windows%\System folder.

  • Information Theft

    It monitors certain applications such as the following:

    • Firefox
    • Opera
    • Skype

    It logs user keystrokes when affected users visit Web sites with the following strings:

    • answer
    • challenge
    • clave
    • codigo
    • firma
    • identifica
    • memorable
    • parol
    • passphras
    • password
    • secret
    • secur
    • segur

  • Other Details

  • It logs the status of its installation to the affected system and to all the network shares it tried to infect to the following files:
    • %User Temp%\tlmlg1.log
    • %User Temp%\tlmlg2.log
  • It uploads the file %User Temp%\cmtemp.tmp to its server.
  • It may also perform the following:
    • Steal data from HTTPS sessions.
    • Read these component files, which are currently not found on systems: ie.dat, input.dat, other.dat, panic.dat.

  Soluciones

Motor de exploración mínimo 8.900
Archivo de patrones de VSAPI 7.580.05
Fecha de publicación de patrones de VSAPI 30 de octubre de 2010
Fecha de publicación de patrones de VSAPI 10/30/2010 12:00:00 AM

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Reiniciar en modo seguro

[ aprenda más ]

Step 3

Eliminar las claves de CLSID aleatorias creadas

[ aprenda más ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

Step 4

Buscar y eliminar este archivo

[ aprenda más ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.
  • %System%\{random file name}.dat
  • %User Temp%\ctfup32.rar
  • %User Temp%\rar.exe
  • %User Temp%\tlmlg1.log
  • %User Temp%\tlmlg2.log

Step 5

Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como WORM_COREFLOOD.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Step 6

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como WORM_COREFLOOD.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Rellene nuestra encuesta!