WORM_OBFUSCA.JS
Trojan.Win32.SelfDel.bvv (Kaspersky), variant of Win32/VBObfus.HR trojan (Eset)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de malware
Worm
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.
Evita el cortafuegos de Windows. Esto permite al malware realizar su rutina sin que lo detecte el cortafuegos instalado.
Este malware se elimina tras la ejecución.
Detalles técnicos
Instalación
Infiltra los archivos siguientes:
- %User Profile%\{random}.exe
- %User Profile%\{random}.exe
- %User Profile%\Passwords.exe
- %User Profile%\Porn.exe
- %User Profile%\runme.exe
- %User Profile%\Secret.exe
- %User Profile%\Sexy.exe
- %Application Data%\{random folder}\svcnost.exe
- %System%\DLL1805.dll
- {Removable Drive}\{random}.exe
- {Removable Drive}\Passwords.exe
- {Removable Drive}\Porn.exe
- {Removable Drive}\Secret.exe
- {Removable Drive}\Sexy.exe
- {Removable Drive}\x.mpeg
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).)Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.
Crea las carpetas siguientes:
- %Application Data%\{random folder}
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%User Profile%\{random}.exe /{random letter}"
La tarea programada ejecuta el malware con cada:
- 1 hour for {time} for 24 hours every day, starting {date}
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate\
AU
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\WindowsUpdate\
AU
NoAutoUpdate = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random}\Parameters
ServiceDll = "%System%\DLL1805.dll"
Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(Note: The default value data of the said registry entry is 1.)
Modifica las siguientes entradas de registro para desactivar la configuración del cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"
(Note: The default value data of the said registry entry is 1.)
Otros detalles
Este malware se elimina tras la ejecución.