Análisis realizado por : Erika Bianca Mendoza   
 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:

  Resumen y descripción

Canal de infección Se propaga vía unidades extraíbles

Llega tras conectar las unidades extraíbles afectadas a un sistema. Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Este malware infiltra copias de sí mismo en las unidades extraíbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.

  Detalles técnicos

Tamaño del archivo 157,953 bytes
Tipo de archivo EXE
Residente en memoria
Fecha de recepción de las muestras iniciales 04 Apr 2011

Detalles de entrada

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Windows%\Network-IPv6\network.exe
  • %Windows%\astry.exe
  • %Windows%\scvhost.exe
  • %Windows%\Network-IPv6\network.exe
  • %System%\scvhost.exe
  • %User Profile%\winlogon.exe
  • %User Profile%\system.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Crea las siguientes carpetas con atributos configurados como Sistema y Oculto para impedir que los usuarios descubran y eliminen sus componentes:

  • {removable drive}\astry

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
UserLogon = %UserProfile%\winlogon.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Network IPv6 = %WINDOWS%\Network-IPv6\network.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Tips
50 = Iloveu astry and never forget you

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegistryTools = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegedit = 0

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableTaskMgr = 0

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
HKeyRoot = 1010

(Note: The default value data of the said registry entry is dword:80000001.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
Text = Akan gue ingat semua

(Note: The default value data of the said registry entry is @shell32.dll,-30500.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
DefaultValue = 1

(Note: The default value data of the said registry entry is 2.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
HKeyRoot = 1018

(Note: The default value data of the said registry entry is dword:80000001.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
Type =

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
Text = Lo dugem terus

(Note: The default value data of the said registry entry is @shell32.dll,-30503.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\NetCrawler
Text = Terlalu banyak nuntut

(Note: The default value data of the said registry entry is @shell32.dll,-30509.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\PersistBrowsers
Text = Lo gak romantis

(Note: The default value data of the said registry entry is @shell32.dll,-30513.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowCompColor
Text = Otak lo mesum

(Note: The default value data of the said registry entry is @shell32.dll,-30512.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowFullPath
Text = Lo bego

(Note: The default value data of the said registry entry is @shell32.dll,-30504.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowFullPathAddress
Text = Gue pandang2x lo jelek

(Note: The default value data of the said registry entry is @shell32.dll,-30505.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ShowInfoTip
Text = Jarang jajan

(Note: The default value data of the said registry entry is @shell32.dll,-30502.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SimpleSharing
Text = Gak punya mobil

(Note: The default value data of the said registry entry is @shell32.dll,-30518.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Text = gue ada pacar baru

(Note: The default value data of the said registry entry is @shell32.dll,-30508.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets
Text = Hidup bersama lo :

(Note: The default value data of the said registry entry is Managing pairs of Web pages and folders.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets
Bitmap = C:\WINDOWS\SYSTEM32\SHELL32.DLL,29

(Note: The default value data of the said registry entry is C:\WINDOWS\System32\SHELL32.DLL,4.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets\
AUTO
Text = Bakalan susah

(Note: The default value data of the said registry entry is Show and manage the pair as a single file.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets\
NOHIDE
Text = Biasa aza

(Note: The default value data of the said registry entry is Show both parts but manage as a single file.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Thickets\
NONE
Text = Bakalan senang

(Note: The default value data of the said registry entry is Show both parts and manage them individually.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\WebViewBarricade
Text = Gue masih cinta lo

(Note: The default value data of the said registry entry is @shell32.dll,-30510.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = explorer.exe, scvhost.exe

(Note: The default value data of the said registry entry is Explorer.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\system32\userinit.exe,

(Note: The default value data of the said registry entry is C:\WINDOWS\system32\Userinit.exe,scvhost.exe.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder
Text = Gue pikir2x lo itu:

(Note: The default value data of the said registry entry is @shell32.dll,-30498.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ClassicViewState
Text = Adik lo banyak

(Note: The default value data of the said registry entry is @shell32.dll,-30506.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\ControlPanelInMyComputer
Text = Pacar lo Banyak

(Note: The default value data of the said registry entry is @shell32.dll,-30497.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\DesktopProcess
Text = Kurang taat ibadah

(Note: The default value data of the said registry entry is @shell32.dll,-30507.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\DisableThumbCache
Text = Sok tau

(Note: The default value data of the said registry entry is @shell32.dll,-30517.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\FolderSizeTip
Text = Babe lo galak

(Note: The default value data of the said registry entry is @shell32.dll,-30514.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\FriendlyTree
Text = Gue kangen berat

(Note: The default value data of the said registry entry is @shell32.dll,-30511.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\FriendlyTree
CheckedValue = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden
Text = Semua tentang lo :

(Note: The default value data of the said registry entry is @shell32.dll,-30499.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
Text = Akan gue lupakan semua

(Note: The default value data of the said registry entry is @shell32.dll,-30501.)

Propagación

Este malware infiltra copias de sí mismo en las unidades extraíbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.