JAVA_ADWIND.JEJPDK

Agrega determinadas entradas de registro para desactivar el Administrador de tareas. Esta acción impide que el usuario lleve a cabo la cancelación del proceso de malware, la cual suele realizarse a través del Administrador de tareas.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %User Profile%\bPCcLfvhpQZ\{11 Random Characters}.{6 Random Characters}

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Infiltra los archivos siguientes:

• %User Temp%\hsperfdata_{username}\{process ID} -> contains details of the malware
• %User Profile%.oracle_jre_usage\{random}.timestamp -> time usage of oracle
• %User Temp%\Retrive{random numbers}.vbs -> script to detect installed AV security and Firewall products (deleted after execution)
• %User Profile%\GTQnQECknnH\ID.txt -> contains UUID
• %User Profile%\bPCcLfvhpQZ\ID.txt -> contains UUID
• %System%\test.txt -> used to check for admin rights

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Infiltra y ejecuta los archivos siguientes:

• %User Temp%\_0.{random numbers}.class -> class to be loaded by main executable JAR, detected as JAVA_ADWIND.WIL

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Agrega los procesos siguientes:

• xcopy "%Program Files%\Java\jre{version}" "%Application Data%\Oracle\" /e -> copy files and directory trees of Java Installation folder to %Application Data%\Oracle folder
• attrib +h "%User Profile%\{random characters}\*.*" -> set attribute of all files under the folder to hidden
• attrib +h "%User Profile%\{random characters}" -> set attribute of folder to hidden
• %System%\taskkill.exe /IM {process name} /T /F -> where {process name} could be one of the following processes terminated by the malware

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las carpetas siguientes:

• %User Profile%\.oracle_jre_usage
• %Application Data%\Oracle
• %User Profile%\fUTkALeaTxM\DdWDtpinxpf
• %User Profile%\fUTkALeaTxM
• %User Profile%\bPCcLfvhpQZ

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{11 Random Characters} = "%Application Data%\Oracle\bin\javaw.exe" -jar "%User Profile%\bPCcLfvhpQZ\{11 Random Characters}.{6 Random Characters}"

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

RegKey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableSR = "1"

RegKey: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows NT\SystemRestore
DisableConfig = "1"

Agrega las siguientes entradas de registro para desactivar el Administrador de tareas:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableTaskMgr = "2"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Download Plug-ins
• Download and Execute Files
• Update itself
• Uninstall itself
• Reset Connection
• Terminate Process
• Sceen Capture
• Access Webcam
• Log Keystrokes

Se conecta a los sitios Web siguientes para enviar y recibir información:

• {BLOCKED}.{BLOCKED}.242.87:1213

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• acs.exe
• AdAwareDesktop.exe
• AdAwareService.exe
• AdAwareTray.exe
• AgentSvc.exe
• av_task.exe
• AVK.exe
• AVKProxy.exe
• AVKService.exe
• AVKTray.exe
• AVKWCtlx64.exe
• avpmapp.exe
• Bav.exe
• bavhm.exe
• BavSvc.exe
• BavTray.exe
• BavUpdater.exe
• BavWebClient.exe
• BDSSVC.EXE
• BgScan.exe
• BullGuard.exe
• BullGuardBhvScanner.exe
• BullGuardUpdate.exe
• BullGuarScanner.exe
• capinfos.exe
• cavwp.exe
• CertReg.exe
• cis.exe
• CisTray.exe
• clamscan.exe
• ClamTray.exe
• ClamWin.exe
• cmdagent.exe
• ConfigSecurityPolicy.exe
• CONSCTLX.EXE
• coreFrameworkHost.exe
• coreServiceShell.exe
• dragon_updater.exe
• dumpcap.exe
• econceal.exe
• econser.exe
• editcap.exe
• EMLPROXY.EXE
• escanmon.exe
• escanpro.exe
• fcappdb.exe
• FCDBlog.exe
• FCHelper64.exe
• FilMsg.exe
• FilUp.exe
• filwscc.exe
• filwscc.exe
• fmon.exe
• FortiClient.exe
• FortiClient_Diagnostic_Tool.exe
• FortiESNAC.exe
• FortiFW.exe
• FortiProxy.exe
• FortiSSLVPNdaemon.exe
• FortiTray.exe
• FPAVServer.exe
• FProtTray.exe
• FPWin.exe
• freshclam.exe
• freshclamwrap.exe
• fsgk32.exe
• FSHDLL64.exe
• fshoster32.exe
• FSM32.EXE
• FSMA32.EXE
• fsorsp.exe
• fssm32.exe
• GdBgInx64.exe
• GDKBFltExe32.exe
• GDSC.exe
• GDScan.exe
• guardxkickoff_x64.exe
• guardxservice.exe
• iptray.exe
• K7AVScan.exe
• K7CrvSvc.exe
• K7EmlPxy.EXE
• K7FWSrvc.exe
• K7PSSrvc.exe
• K7RTScan.exe
• K7SysMon.Exe
• K7TSecurity.exe
• K7TSMain.exe
• K7TSMngr.exe
• LittleHook.exe
• mbam.exe
• mbamscheduler.exe
• mbamservice.exe
• MCShieldCCC.exe
• MCShieldDS.exe
• MCShieldRTM.exe
• MCS-Uninstall.exe
• mergecap.exe
• MpCmdRun.exe
• MpUXSrv.exe
• MSASCui.exe
• MsMpEng.exe
• MWAGENT.EXE
• MWASER.EXE
• nanoav.exe
• nanosvc.exe
• nbrowser.exe
• nfservice.exe
• NisSrv.exe
• njeeves2.exe
• nnf.exe
• nprosec.exe
• NS.exe
• nseupdatesvc.exe
• nvcod.exe
• nvcsvc.exe
• nvoy.exe
• nwscmon.exe
• ONLINENT.EXE
• op_mon.exe
• OPSSVC.EXE
• ProcessHacker.exe
• procexp.exe
• PSANHost.exe
• PSUAMain.exe
• PSUAService.exe
• psview.exe
• PtSessionAgent.exe
• PtSvcHost.exe
• PtWatchDog.exe
• quamgr.exe
• quamgr.exe
• QUHLPSVC.EXE
• Rawshark.exe
• regedit.exe
• SAPISSVC.EXE
• SASCore64.exe
• SASTask.exe
• SBAMSvc.exe
• SBAMTray.exe
• SBPIMSvc.exe
• SCANNER.EXE
• SCANWSCS.EXE
• schmgr.exe
• scproxysrv.exe
• ScSecSvc.exe
• SDFSSvc.exe
• SDScan.exe
• SDTray.exe
• SDWelcome.exe
• SSUpdate64.exe
• SUPERAntiSpyware.exe
• SUPERDelete.exe
• Taskmgr.exe
• text2pcap.exe
• TRAYICOS.EXE
• TRAYSSER.EXE
• trigger.exe
• tshark.exe
• twsscan.exe
• twssrv.exe
• uiSeAgnt.exe
• uiUpdateTray.exe
• uiWatchDog.exe
• uiWinMgr.exe
• UnThreat.exe
• UserAccountControlSettings.exe
• UserReg.exe
• utsvc.exe
• V3Main.exe
• V3Medic.exe
• V3Proxy.exe
• V3SP.exe
• V3Svc.exe
• V3Up.exe
• VIEWTCP.EXE
• VIPREUI.exe
• virusutilities.exe
• WebCompanion.exe
• wireshark.exe
• Zanda.exe
• Zlh.exe
• zlhh.exe