Author: Nikko Tamana   
 

VBS/DwnLdr-UZE (Sophos)

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Emplea la creación del shell de registro mediante la introducción de determinadas entradas de registro. Esto permite la ejecución de este malware aunque estén abiertas otras aplicaciones.

Modifica la configuración de seguridad de Internet Explorer. Esto pone en gran peligro el equipo afectado, puesto que permite que acceda a URL maliciosas.

  TECHNICAL DETAILS

File size: 134,210 bytes
File type: VBS
INITIAL SAMPLES RECEIVED DATE: 09 de stycznia de 2018

Instalación

Infiltra los archivos siguientes:

  • %ProgramData%\{random letters}\System
  • %ProgramData%\{random numbers}.exe

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %ProgramData%\{random letters}\{random letters}.vbs

Técnica de inicio automático

Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:

HKCU\Software\Microsoft\
Windows\CurrentVersion\Run
ChromeUpdater = %ProgramData%\{random numbers}.exe

Emplea la generación del shell de registro para garantizar su ejecución cuando se accede a determinados tipos de archivo mediante la introducción de las entradas siguientes:

HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command
{Default} = "%ProgramData%\{random letters}\System" "%ProgramData%\{random letters}\{random letters}.vbs" "%1 %2 %3 %4 %5 %6 %7 %8 %9"

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas
HasLUAShield = {Default}

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKLM\SOFTWARE\Classes\
{random letters}

HKLM\SOFTWARE\Classes\
{random letters}\shell

HKLM\SOFTWARE\Classes\
{random letters}\shell\open

HKLM\SOFTWARE\Classes\
{random letters}\shell\open\
command

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas

HKLM\SOFTWARE\Classes\
{random letters}\shell\runas\
command

HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon

HKLM\SOFTWARE\Classes\
.

HKCU\Software\Vaalberit

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKLM\SOFTWARE\Classes\
{random letters}\DefaultIcon
{Default} = %1

HKCU\Software\Vaalberit
black = !TEST.EXE!

HKCU\Software
Vaalberit = {random letters}

HKLM\SOFTWARE\Classes\
.exe
{Default} = {random letters}

HKLM\SOFTWARE\Classes\
.
{Default} = exefile

HKCU\Software\Vaalberit
black = 0!0

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Agrega las siguientes entradas y líneas al archivo SYSTEM.INI para permitir su ejecución automática cada vez que se inicia el sistema: $$DATA$$

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

  • %ProgramData%\{random letters}\{random alphanumeric characters}.exe