WORM_AUTORUN.BPD
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %User Temp%\sob5467.exe
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Infiltra los archivos siguientes:
- %User Temp%\ntdbg.dat
- %System Root%\RECYCLER\Z-1-6-22-1085480564-571221492-571812059-1003\desktop.ini
- %System Root%\RECYCLER\Z-1-6-22-1085480564-571221492-571812059-1003\rec
- %System Root%\RECYCLER\Z-1-6-22-1085480564-571221492-571812059-1003\send
- %System Root%\RECYCLER\Z-1-6-22-1085480564-571221492-571812059-1003\send\sysinf
- %System Root%\RECYCLER\Z-1-6-22-1085480564-571221492-571812059-1003\u.dat
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
. %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).)Crea las carpetas siguientes:
- %System Root%\RECYCLER\Z-1-6-22-1085480564-571221492-571812059-1003
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SCMTool = "{malware path}\{malware name}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
@ = "%User Temp%\sob5467.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
SCMTool = "{malware path}\{malware name}"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\IExplorer
SCMTool = "{malware path}\{malware name}"
Este malware modifica la(s) siguiente(s) entrada(s)/clave(s) de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDriveTypeAutoRun = "ff"
(Note: The default value data of the said registry entry is 91.)
Agrega las siguientes claves de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\IExplorer
HKEY_LOCAL_MACHINE\SOFTWARE\IExplorer\
OptionalComponents
Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"
(Note: The default value data of the said registry entry is 1.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"
(Note: The default value data of the said registry entry is 1.)
Propagación
Crea las carpetas siguientes en todas las unidades extraíbles:
- Recycled
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- explore.exe
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.