Author: Christopher Daniel So   

 

VirTool:Win32/VBInject.gen!CU (Microsoft); W32.Pilleuz (Symantec); P2P-Worm.Win32.Palevo.lrs, P2P-Worm.Win32.Palevo.lrs (Kaspersky); Backdoor.Sdbot.DGDK (FSecure); Troj/VBDrop-P (Sophos); Worm.Win32.Palevo.mwz (v) (GFI-Sunbelt); W32/Kolab.HQL!worm (Fortinet); W32/Worm.AXRV (exact) (FProt); Worm/Palevo.lrs.4 (AntiVir); W32/Worm.AXRV (Authentium); Worm.P2P.Palevo-12 (ClamAV); P2P-Worm.Win32.Palevo (Ikarus); Trojan W32/VBTroj.CEPA (Norman); I-Worm.Palevo.lrs (Quickheal); Trojan-Dropper.VB.Clare (VBA32)

 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  TECHNICAL DETAILS

File size: różni się
File type: PE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 14 kwietnia 2010

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System Root%\RECYCLER\{random SID}\{random file name}.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Infiltra los archivos siguientes:

  • %System Root%\RECYCLER\{random SID}\Desktop.ini - non-malicious files

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%System Root%\RECYCLER\{random SID}\{random file name}.exe"

Propagación

Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:

  • {drive letter}:\Docs\print.exe

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  SOLUTION