Author: Dianne Lagrimas   

 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam. Llega como archivo que exporta las funciones de otro malware/grayware/spyware. Llega como componente integrado en paquetes de malware/grayware/spyware.

  TECHNICAL DETAILS

File size: różni się
File type: PE
Memory resident: Yes

Detalles de entrada

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Llega como archivo que exporta las funciones de otro malware/grayware/spyware.

Llega como componente integrado en paquetes de malware/grayware/spyware.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • {malware path}\{malware file name}

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name} = "{malware path}\{malware file name}"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "{malware path and file name}.exe:*:Enabled:ldrsoft"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Download
CheckExeSignatures = "no"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
DisableTaskMgr = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = ".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;"

Rutina de antivirus falso

Muestra los siguientes avisos falsos:

  • Failed to read system files configuration. Start a system diagnostics application to scan your hard disk for errors and performance problems.
  • A performance problem with one or more installed IDE / SATA hard drives has been detected. System restart is highly recommended.
  • Un error ocurrio durante la lectura de los ficheros del sistema. Ejecute la utilidad diagnostica del sistema para chequear su unidad del disco duro para errores.
  • El sistema ha detectado un problema con uno o mas IDE / SATA discos duros instalados. Vd. esta aconsejado a reiniciar el sistema.
  • Ein Fehler beim Lesen Systemdateien eingetreten. Fuhren Sie ein Diagnoseprogramm fur Fehlerbestimmung durch.
  • Das System hat ein Problem mit einem oder mehreren installierten IDE / SATA-Festplatten erkannt. Es wird empfohlen, das System neu zu starten.
  • Errore durante la lettura di file di sistema Lanciate l'utilita di diagnostica del sistema per verificare il hard disk per gli errori.
  • Il sistema ha rilevato un problema con uno o pi? hard disk IDE / SATA istallati. Si raccomanda di riaccendere il sistema.
  • utilitaire de diagnostique du systeme pour detecter les erreurs sur votre disque dur.
  • Le systeme a detecte un probleme avec un ou plusieurs disques durs IDE / SATA installes. Nous vous recommandons de redemarrer votre systeme.
  • Sistem dosyalar? okuma s?ras?nda hata olusmustur. Sistem tan?mlama yard?mc? program?n? sabit disk surucusunu kontrol etmek icin baslay?n.
  • Sistem yuklenmis bir veya fazlas? olan IDE / SATA sabit disklerde hatay? tespit etti. Sisteminizi yeniden baslatman?z tavsiye edilir.

  SOLUTION