WORM_DISTTRACK.C
Windows
Tipo de malware
Worm
Destructivo?
Sí
Cifrado
No
In the Wild:
Sí
Resumen y descripción
Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.
A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %System%\ntssrvr32.exe
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Este malware infiltra el/los siguiente(s) archivo(s):
- %Temp%\key8854321.pub ← contains Public Key
(Nota: %Temp% es la carpeta de archivos temporales de Windows, que suele estar en C:\Windows\Temp o C:\WINNT\Temp).
)Infiltra y ejecuta los archivos siguientes:
- %System%\netinit.exe ← detected as TROJ_DISTTRACK.C; used to Report Infection
- %System%\{random filename}.exe ← detected as TROJ_WIPMBR.C; used to wipe MBR
- where {random filename} is any of the following:
- caclsrv
- certutl
- clean
- ctrl
- dfrag
- dnslookup
- dvdquery
- event
- findfile
- gpget
- ipsecure
- iissrv
- msinit
- ntfrsutil
- ntdsutl
- power
- rdsadmin
- regsys
- sigver
- routeman
- rrasrv
- sacses
- sfmsc
- smbinit
- wcscript
- ntnw
- netx
- fsutl
- extract
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.
Propagación
Infiltra copias de sí mismo en las carpetas compartidas siguientes:
- ADMIN$
- C$\WINDOWS
- D$\WINDOWS
- E$\WINDOWS
Rutina de infiltración
A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.
Otros detalles
Agrega y ejecuta los servicios siguientes:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
ImagePath = "%System%\ntssrvr32.exe LocalService" or "{malware path and filename} LocalService"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
DisplayName = "Microsoft Network Realtime Inspection Service"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
DependOnService = "RpcSs"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
DependOnGroup = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\NtsSrv
Description = "Helps guard against time change attempts targeting known and newly discovered vulnerabilities in network time protocols"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanWorkstation
DependOnGroup = ""
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\LanmanWorkstation
DependOnService = NtsSrv
Soluciones
Step 2
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.
Step 4
Reiniciar en modo seguro
Step 5
Elimine los archivos de malware que se han introducido/descargado mediante WORM_DISTTRACK.C
- TROJ_DISTTRACK.C
- TROJ_WIPMBR.C
Step 7
Buscar y eliminar estos archivos
- %Temp%\key8854321.pub
- %Temp%\key8854321.pub
Step 8
Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como WORM_DISTTRACK.C En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.
Rellene nuestra encuesta!