Author: Christopher Daniel So   
 

Worm:Win32/Hamweq.AI (Microsoft), W32.IRCBot (Symantec), W32/Hamweq.worm.h (McAfee), Trojan.Win32.AutoRun.j (Kaspersky)

 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  TECHNICAL DETAILS

File size: 41,984 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 30 lipca 2011

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System Root%\RELEASE\DEBUG\ghx.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Infiltra los archivos siguientes:

  • %System Root%\RELEASE\DEBUG\desKtOp.InI

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Crea las carpetas siguientes:

  • %System Root%\RELEASE

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144}
StubPath = "%System Root%\RELEASE\DEBUG\ghx.exe"

Propagación

Crea las carpetas siguientes en todas las unidades extraíbles:

  • RELEASE

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

  • {removable drive letter}:\RELEASE\DEBUG\ghx.exe

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.