Author: Erika Bianca Mendoza   
 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    File infector

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

  TECHNICAL DETAILS

File size: 70656 bytes
File type: EXE
Memory resident: No
INITIAL SAMPLES RECEIVED DATE: 08 de sierpnia de 2001

Detalles de entrada

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %SYSTEM%\winapp.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
Netvx = %SYSTEM%\winapp.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\Software\Tress

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\App Paths\
no.exe

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\Software\Tress
Installed = {date}

HKEY_LOCAL_MACHINE\Software\Tress
User = {username}

HKEY_LOCAL_MACHINE\Software\Tress
RunCount = {count}

HKEY_LOCAL_MACHINE\Software\Tress
MineCount = {count}

HKEY_LOCAL_MACHINE\Software\Tress
Ver = dword:0000000c

HKEY_LOCAL_MACHINE\Software\Tress
InstalledAs = winapp.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\App Paths\
no.exe
Default = %SYSTEM%\winapp.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Network
DisablePwdCaching = 1

  SOLUTION