JS_BONDAT.GGQW
Js.Worm.Vjworm.Dzul (Tencent)
Windows
Threat Type:
Worm
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Utiliza el Programador de tareas de Windows para agregar una tarea programada que ejecute las copias que infiltra.
TECHNICAL DETAILS
Instalación
Infiltra los archivos siguientes:
- %System%\Tasks\Skype
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Utiliza el Programador de tareas de Windows para agregar una tarea programada que ejecute las copias que infiltra.
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
FR2A2Z30F1 = {malware filename}
La tarea programada ejecuta el malware con cada:
- 30 minutes
Permite su ejecución automática cada vez que se inicia el sistema al crear las siguientes copias de sí mismo dentro de la carpeta de inicio común de Windows:
- %User Startup%\{malware filename}.js
(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).
)Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER
vjw0rm = {TRUE or FALSE}