WORM_DORKBOT
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo infiltrado otro malware. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.
TECHNICAL DETAILS
Detalles de entrada
Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.
Puede haberlo infiltrado otro malware.
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "%User Profile%\Application Data\{malware file name}.exe"
Propagación
Crea las carpetas siguientes en todas las unidades extraíbles:
- {drive letter}:\RECYCLER
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- {drive letter}:\RECYCLER\{random characters}.exe
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Envía mensajes que contienen enlaces a sitios con copias remotas de sí mismo mediante las siguientes aplicaciones de mensajería instantánea:
- Windows Live Communicator
- MSN Messenger
- Pidgin
- Xchat
- mIRC
Capacidades de rootkit
Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.