WORM_CMDLOH.AF
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Entra mediante recursos compartidos de igual a igual (P2P).
Este malware infiltra copias de sí mismo en todas las unidades. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.
Se conecta a determinados sitios Web para enviar y recibir información.
TECHNICAL DETAILS
Detalles de entrada
Entra mediante recursos compartidos de igual a igual (P2P).
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %System%\wcynsvc.exe
- %System%\wcynsvc.ocx
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Técnica de inicio automático
Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Wnetwise
ImagePath = "%System%\wcynsvc.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
Type = "110"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
Start = "2"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
ErrorControl = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
DisplayName = "Windows netware view information setup"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Security
Security =
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
ObjectName = "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE
NextInstance = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000\Control
*NewlyCreated* = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
Service = "Wnetvise"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
Legacy = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
ConfigFlags = "0"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
Class = "LegacyDriver"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
ClassGUID = "{GUID}"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
DeviceDesc = "Windows netware view information setup"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Enum
0 = "Root\LEGACY_WNETVISE\0000"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Enum
Count = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Enum
NextInstance = "1"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
Description = "Provide security by Windows netware work system information"
Agrega las siguientes claves de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Enum\Root\LEGACY_WNETVISE\
0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Services\Wnetvise\Enum
Propagación
Este malware infiltra las siguientes copias de sí mismo en todas las unidades físicas y extraíbles:
- No Delete .exe
Este malware infiltra copias de sí mismo en todas las unidades. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.
Otros detalles
Se conecta al sitio Web siguiente para enviar y recibir información:
- {BLOCKED}ng.3322.org
- {BLOCKED}noc8a.gicp.net