WORM_FLYSTUD.QWI
Win32/AutoRun.FlyStudio.ZE (NOD32); W32.SillyFDC (Symantec)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Llega tras conectar las unidades extraíbles afectadas a un sistema. Llega tras acceder a redes compartidas afectadas.
TECHNICAL DETAILS
Detalles de entrada
Llega tras conectar las unidades extraíbles afectadas a un sistema.
Llega tras acceder a redes compartidas afectadas.
Instalación
Infiltra los archivos siguientes:
- %System Root%\autorun.inf\desktop.ini
- %Program Files%\autorun.inf\desktop.ini
- %Program Files%\Windows Media Player\autorun.inf\desktop.ini
- %User Temp%\E_N4\eAPI.fne
- %User Temp%\E_N4\internet.fne
- %User Temp%\E_N4\krnln.fnr
- %User Temp%\E_N4\Md5.fne
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Crea las siguientes copias de sí mismo en el sistema afectado:
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf\svchost.exe¡¡
(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).
)Crea las carpetas siguientes:
- %System Root%\autorun.inf
- %System Root%\autorun.inf\ÎļþÃâÒß.
- %Program Files%\autorun.inf
- %Program Files%\autorun.inf\ÎļþÃâÒß.
- %Program Files%\Windows Media Player\autorun.inf
- %Program Files%\Windows Media Player\autorun.inf\ÎļþÃâÒß.
- %User Temp%\E_N4
- %Program Files%\Windows Media Player\c\f
- %Program Files%\Windows Media Player\c\f\c
- %Program Files%\Windows Media Player\c\f\c\d
- %Program Files%\Windows Media Player\c\f\c\d\2
- %Program Files%\Windows Media Player\c\f\c\d\2\0
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a
- %Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Técnica de inicio automático
Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = Userinit,"%Program Files%\Windows Media Player\c\f\c\d\2\0\8\4\9\5\d\5\6\5\e\f\6\6\e\7\d\f\f\9\f\9\8\7\6\4\d\a\autorun.inf\svchost.exe¡¡
(Note: The default value data of the said registry entry is C:\WINDOWS\system32\userinit.exe,.)
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\.exe¡¡
HKEY_CURRENT_USER\Software\LoveQ
Propagación
Busca carpetas en todas las unidades físicas y extraíbles e infiltra copias de sí mismo dentro de ellas con el formato {nombre de carpeta}.EXE.
Usa los siguientes nombres de archivo para las copias que infiltra en las redes compartidas:
- ...exe
- ..exe