Author: Erika Bianca Mendoza   
 PLATFORM:

Windows 2000 ,Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

  TECHNICAL DETAILS

File size: 60,583 bytes
File type: Java
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 11 stycznia 2012

Detalles de entrada

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{175975F5-C68F-0875-C827-9225E76EAC65}
StubPath = cmd /q /c STArT "" /I /B JAVAw -classpath %User Temp%\jar_cache4680028483526636544.tmp a

Infiltra los archivos siguientes:

  • {drive}\Autorun.inf
  • %User Temp%\hsperfdata_{OS}\528
  • %User Temp%\hsperfdata_{OS}\smss.exe
  • %User Temp%\hsperfdata_{OS}\Ticr.Dll

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Propagación

Este malware infiltra las siguientes copias de sí mismo en todas las unidades físicas y extraíbles:

  • RECYCLER\{SID}\{random characters}.{random ext}