Análisis realizado por : Anthony Joe Melgarejo   
 Alias

Worm:Win32/Vercuser.A (Microsoft), Win32/Vercuser.A worm (ESET)

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  Detalles técnicos

Tamaño del archivo 499,069 bytes
Tipo de archivo EXE
Fecha de recepción de las muestras iniciales 07 May 2013

Instalación

Infiltra los archivos siguientes:

  • %User Temp%\~temp~{random}iN.dat
  • %User Temp%\~temp~{random}iN.dat
  • %User Temp%\~temp~{random}~.tmp
  • %Program Files%\Internet Explorer\ieinstal.dll
  • %User Temp%\~DF{random}KB.tmp.exe
  • User Temp%\~security~update~{random}.log

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Application Data%\Microsoft\Windows\~temp~{random}iN.exe
  • %User Temp%\hsperfdata_temp\~temp~clear~{random}.exe
  • %User Temp%\~temp~{random}iN.exe
  • %User Temp%\hsperfdata_temp\~temp~clear~{random}.exe
  • %Program Files%\Windows Defender\MSASCui.exe
  • %Application Data%\Program Files\Windows Defender\MSASCui.exe
  • %Program Files%\Internet Explorer\iexplore.exe
  • %Application Data%\Program Files\Internet Explorer\iexplore.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce
ClearTemp = "%User Temp%\hsperfdata_temp\~temp~clear~{random}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
ClearTemp = "%User Temp%\hsperfdata_temp\~temp~clear~{random}.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce
Windows Defender = "%Program Files%\Windows Defender\MSASCui.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Windows Defender = %Program Files%\Windows Defender\MSASCui.exe

Infiltra el siguiente acceso directo dirigido a su copia en la carpeta de inicio del usuario para que se ejecute automáticamente cada vez que arranque el sistema:

  • Windows Defender.lnk
  • Internet Security.lnk

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio común de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

  • Windows Defender.lnk
  • Internet Security.lnk

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer
WaitDir = "{pre-defined directory}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer
Lastupdate = "{malware-defined value}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer
DownDir = "{pre-defined directory}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer
SecurityKey = "{malware-defined value}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer
iSecurityCheck = "{random value}"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Explorer
SecurityKey = "{malware-defined value}"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Internet Explorer
iSecurityCheck = "{random value}"

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
DefaultValue = "2"

(Note: The default value data of the said registry entry is {User's default value}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
NOHIDDEN
CheckedValue = "2"

(Note: The default value data of the said registry entry is {User's default value}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
CheckedValue = "1"

(Note: The default value data of the said registry entry is {User's default value}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\
SHOWALL
DefaultValue = "2"

(Note: The default value data of the said registry entry is {User's default value}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
CheckedValue = "0"

(Note: The default value data of the said registry entry is {User's default value}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
DefaultValue = "0"

(Note: The default value data of the said registry entry is {User's default value}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
UncheckedValue = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
DefaultValue = "1"

(Note: The default value data of the said registry entry is {User's default value}.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\HideFileExt
CheckedValue = "1"

(Note: The default value data of the said registry entry is {User's default value}.)

HKEY_CURRENT_USER\Software\Microsoft\
Internet Connection Wizard
Completed = "01000000"

(Note: The default value data of the said registry entry is {System's defined value}.)

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
Check_Associations = "no"

(Note: The default value data of the said registry entry is {User's default value}.)

Propagación

Crea las carpetas siguientes en todas las unidades extraíbles:

  • {drive letter}:\USB
  • {drive letter}:\USB\Data

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

  • {drive letter}:\NewFolder.exe
  • {drive letter}:\USB\Data\SecureDrive.exe

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Rutina de infiltración

Infiltra los archivos siguientes:

  • {removable drive}:\USB\Desktop.ini