Author: Abraham Latimer Camba   

 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Cambia la página de inicio de Internet Explorer del usuario a un determinado sitio Web. Esta acción permite que el malware dirija a un sitio Web que contiene malware y aumente el riesgo de infección de malware del equipo afectado.

  TECHNICAL DETAILS

File size: różni się
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 21 grudnia 2010

Instalación

Infiltra los archivos siguientes:

  • %Desktop%\Search.lnk
  • %Favorites%\Sioril.lnk
  • %Start Menu%\Programs\Startup\Search bar.lnk
  • %User Profile%\My Documents\Search bar.lnk
  • %Windows%\Tasks\At1.job

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

. %Favorites% es la carpeta Favoritos del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Favorites, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Favoritos y en Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Favoritos).

. %Start Menu% es la carpeta Menú Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Menú Inicio).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\chrome9.exe
  • %Windows%\chrome9.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Yahoo Messengger = "%System%\chrome9.exe"

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe chrome9.exe"

(Note: The default value data of the said registry entry is Explorer.exe.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Internet Explorer

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Internet Explorer\Control Panel

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Internet Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Internet Explorer\Control Panel

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
RunOnceComplete = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Main
RunOnceHasShown = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Search Assistant
DefaultSearchURL = "http://www.sioril.co.uk/index.php?page=search/web&search="

HKEY_CURRENT_USER\Software\Policies\
Microsoft\Internet Explorer\Control Panel
HomePage = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
RunOnceComplete = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Internet Explorer\Main
RunOnceHasShown = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Internet Explorer\Control Panel
HomePage = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Schedule
AtTaskMaxHours = "48"

Propagación

Busca carpetas en todas las unidades físicas y extraíbles e infiltra copias de sí mismo dentro de ellas con el formato {nombre de carpeta}.EXE.

Este malware infiltra las siguientes copias de sí mismo en todas las unidades físicas y extraíbles:

  • {Drive Letter}:\chrome9.exe

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Cambia la página de inicio de Internet Explorer del usuario a los siguientes sitios Web:

  • http://www.{BLOCKED}10.com/