Análisis realizado por : Dianne Lagrimas   

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Canal de infección Se propaga vía unidades extraíbles, Se propaga vía redes compartidas, Se propaga vía vulnerabilidades de software

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  Detalles técnicos

Tamaño del archivo Varía
Tipo de archivo PE
Residente en memoria
Carga útil Downloads files, Compromises system security

Detalles de entrada

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Instalación

Infiltra los archivos siguientes:

  • %User Temp%\E_N4\eAPI.fne
  • %User Temp%\E_N4\eImgConverter.fne
  • %User Temp%\E_N4\krnln.fnr
  • %User Temp%\E_N4\PBShell.fne
  • %User Temp%\E_N4\shell.fne
  • %System Root%\OGa\RD\DesKTop.ini
  • %User Temp%\srv{random}.ini
  • %User Temp%\rstimgr.inf

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\smsc.exe
  • %System%\svchoct.exe
  • %User Temp%\srv{3 random hexadecimal digits}.tmp
  • %System Root%\OGa\RD\GOx.exe
  • %Windows%\dllmgr.exe
  • %Application Data%\Microsoft\IME\V2005\PHIME2002A.exe
  • %User Temp%\srv{random}.tmp
  • {Shared Folder}\setup50045.fon

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Crea las carpetas siguientes:

  • %User Temp%\E_N4
  • %System Root%\OGa
  • %System Root%\OGa\RD
  • %System Root%\RECYCLER\{SID}

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Este malware se inyecta a sí mismo en los siguientes procesos como parte de su rutina de residencia en memoria:

  • spoolsv.exe
  • explorer.exe

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\PrtSmanm
ImagePath = "{malware path and file name}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srv{random hexadecimal number}
ImagePath = "{malware path and file name}"

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware-defined name} = "{malware-defined entry name}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\srv{random}\parameters
{malware-defined name} = "{malware path and file name}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware-defined name} = "{malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware-defined name} = {malware path and file name}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{random CLSID}
StubPath = "{malware path and file name}"

Agrega las siguientes claves para permitir su propia ejecución en modo seguro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
srv{random hexadecimal number}

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Shell Extensions
{malware-defined name} = "{malware-defined entry name}"

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wscsvc
Start = "4"

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\wuauserv
Start = "4"

(Note: The default value data of the said registry entry is 2.)

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\GloballyOpenPorts\
List
{malware-defined name} = "{malware-defined entry name}"

Propagación

Crea las carpetas siguientes en todas las unidades extraíbles:

  • RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321
  • OGa
  • {Removable drive} letter:\{random characters}

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

  • {drive}:\RECYCLER\S-1-5-21-2214276341-3544434524-6043330-4321\update.exe
  • {space}.exe
  • setup1911.fon
  • {Removable drive letter}:\{random characters}\{random characters}.exe

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  Soluciones

Motor de exploración mínimo 9.200
Primer archivo de patrones de VSAPI 5.554.01
Primera fecha de publicación de patrones de VSAPI 20 de septiembre de 2008
Versión de patrones OPR de VSAPI 5.555.00
Fecha de publicación de patrones OPR de VSAPI 20 de septiembre de 2008
Rellene nuestra encuesta!