WORM_OTOIT.SMT

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

File size: różni się

File type: EXE

Memory resident: Yes

INITIAL SAMPLES RECEIVED DATE: 26 de listopada de 2009

Detalles de entrada

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Instalación

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

%Windows%\Tasks\At1.job
%System%\28463\svchost.001
%System%\setting.ini
%System%\setup.ini

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

%Windows%\regsvr.exe
%System%\regsvr.exe
%System%\svchost .exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Msn Messsenger = "%System%\regsvr.exe"

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe regsvr.exe"

(Note: The default value data of the said registry entry is Explorer.exe.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares
shared = "{shared folder}\New Folder .exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NofolderOptions = "0"

Propagación

Busca en la red las siguientes redes compartidas en las que intenta crear copias de sí mismo:

New Folder .exe
regsvr.exe

Busca carpetas en todas las unidades físicas y extraíbles e infiltra copias de sí mismo dentro de ellas con el formato {nombre de carpeta}.EXE.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Rutina de descarga

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Minimum scan engine: 8.900

First VSAPI Pattern File: 6.806.02

First VSAPI Pattern Release Date: 26 de listopada de 2009

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Explorar el equipo con su producto de Trend Micro y anotar los archivos detectados como WORM_OTOIT.SMT

Step 3

Reiniciar en modo seguro

[ learnMore ]

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares
- shared = "{shared folder}\New Folder.exe"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableTaskMgr = "0"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools = "1"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NofolderOptions = "0"
In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Msn Messsenger = "%System%\regsvr.exe"

Step 5

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- From: Shell = "Explorer.exe regsvr.exe"
  To: Shell = "Explorer.exe"

Step 6

Buscar y eliminar estos archivos

[ learnMore ]

Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción Más opciones avanzadas para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos.

%Windows%\Tasks\At1.job

%System%\28463\svchost.001

%System%\setting.ini

%System%\setup.ini

[drive]\autorun.inf

Step 7

Buscar y eliminar el archivo detectado como WORM_OTOIT.SMT

[ learnMore ]

Did this description help? Tell us how we did.

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Zasoby

Wsparcie

O firmie Trend

WORM_OTOIT.SMT

OVERVIEW

TECHNICAL DETAILS

SOLUTION

Zasoby

Wsparcie

O firmie Trend

Obie Ameryki

Bliski Wschód i Afryka

Europa

Azja i Pacyfik