Author: Ryan Gardo   

 

Generic15.YOY(AVG); Trojan.Win32.VB.vgy(Kaspersky); Artemis!E347F2E00EEC(McAfee)

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW


  TECHNICAL DETAILS

File size: 75,261 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 13 marca 2015

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System Root%\ayu ashari bugil.jpg

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
gpmce = \Kumpulan Sofware-sofware terbaru.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
gpmce = \Master Game Strategy.exe

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
LocalizedString = "@%SystemRoot%\system32\SHELL32.dll,-8964"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{645FF040-5081-101B-9F08-00AA002F954E}
LocalizedString = "@%SystemRoot%\system32\shell32.dll,-9216"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon
(Default) = "%SystemRoot%\System32\shell32.dll,31"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
(Default) = "%SystemRoot%\Explorer.exe,0"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
full = "%SystemRoot%\Explorer.exe,0"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
search page = www.tube8.com

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
start page = "www.gpmce.net"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1" (For OS Version XP and below)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
DisableThumbnailCache = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableTaskMgr = "1" (For OS Version XP and below)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
system
DisableRegistryTools = "1" (For OS Version XP and below)

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Windows\System
disableCMD = "2" (For OS Version XP and below)

Propagación

Busca carpetas en todas las unidades físicas y extraíbles e infiltra copias de sí mismo dentro de ellas con el formato {nombre de carpeta}.EXE.

  SOLUTION

Minimum scan engine: 9.750
First VSAPI Pattern File: 11.536.02
First VSAPI Pattern Release Date: 13 de marca de 2015
VSAPI OPR PATTERN-VERSION: 11.537.00
VSAPI OPR PATTERN DATE: 14 de marca de 2015

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Reiniciar en modo seguro

[ learnMore ]

Step 7

Reinicie en modo normal y explore el equipo con su producto de Trend Micro para buscar los archivos identificados como WORM_COPYKAT.A En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Did this description help? Tell us how we did.