Author: Adrianne Chester Camat   
 

Win32/Xorer (NAI), Virus:Win32/Xorer.gen!A (Microsoft)

 PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    File infector

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Eliminado por otro tipo de malware, Descargado de Internet, Infecta archivos

Antepone sus códigos a los archivos de destino. Infecta determinados tipos de archivos insertando código en dichos archivos.

Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  TECHNICAL DETAILS

File size: 94,216 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 28 de марта de 2008
PAYLOAD: Displays ads

Instalación

Infiltra y ejecuta los archivos siguientes:

  • %system%\com\lsass.exe detected as PE_PAGIPEF.BY
  • %system%\com\netcfg.dll detected as TROJ_PAGIPEF.BY
  • %system%\com\netcfg.000 detected as TROJ_PAGIPEF.BY
  • %system%\com\smss.exe detected as TROJ_PAGIPEF.BL

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

  • xcgucvnzn

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\NetApi000

Otras modificaciones del sistema

Modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoDriveTypeAutoRun = "91"

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced\Folder\SuperHidden
Type = "radio"

(Note: The default value data of the said registry entry is checkbox.)

Elimina las siguientes claves de registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Minimal\
{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\
Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot\Network\
{4D36E967-E325-11CE-BFC1-08002BE10318}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Image File Execution Options

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Group Policy Objects

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\
Microsoft\Windows\Safer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

Infección de archivo

Antepone sus códigos a los archivos de destino.

Infecta los archivos con las siguientes extensiones insertando código en dichos archivos:

  • *.exe

Propagación

Infiltra copias de sí mismo en todas las unidades extraíbles y físicas del sistema.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Rutina de adware

Se conecta a las URL siguientes para descargar y mostrar publicidad:

  • http://js.{BLOCKED}2.com/go.asp
  • http://ww2.js.{BLOCKED}2.com/go.asp
  • http://w.{BLOCKED}o.com/r.htm
  • http://ww38.w.{BLOCKED}o.com/r.htm
  • http://js.{BLOCKED}2.com/01.asp

Otros detalles

Cierra ventanas de aplicaciones que contienen las cadenas siguientes en la barra de título:

  • rav
  • avp
  • twister
  • kv
  • watch
  • kissvc
  • scan
  • guard
  • kmailmon
  • 360¦¦+½
  • lsass.exe
  • smss.exe
  • pagefile.pif
  • dr.web
  • firewall
  • escan
  • mcagent
  • yst
  • afet
  • onit
  • kv
  • monitor
  • ewido
  • bitdefender
  • facelesswndproc
  • avg
  • arp
  • mcafee
  • afx:
  • eset
  • thunderrt6main
  • thunderrt6formdc
  • ThunderRT6Timer
  • antivir
  • tapplication
  • AfxControlBar42s
  • TsuiForm
  • copylock
  • avast
  • ##vso##
  • TPageControl
  • TTabSheet
  • diskgen
  • dummycom
  • xorer
  • ieframe
  • cabinetwclass
  • mozillauiwindowclass
  • metapad
  • AntiVirService
  • AVP
  • KWatchSvc
  • ekrn
  • SymEvent
  • PAVSRV
  • tmmbd
  • McShield
  • RsRavMon
  • EQService
  • KSysMon

  SOLUTION

Minimum scan engine: 9.300
First VSAPI Pattern File: 5.192.01
First VSAPI Pattern Release Date: 28 de марта de 2008
VSAPI OPR PATTERN-VERSION: 5.193.00
VSAPI OPR PATTERN DATE: 31 de марта de 2008

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 3

Puesto que este malware se basa en la tecnología de rootkits, es posible que su detección y eliminación mediante los métodos de modo normal y seguro no lo elimine del todo. Este procedimiento reinicia el sistema mediante la Consola de recuperación de Windows.

  1. Introduzca el CD de instalación de Windows en la unidad de CD y pulse el botón de reinicio.
  2. Cuando se lo solicite el sistema, pulse cualquier tecla para arrancar desde la unidad de CD.
  3. En el menú principal, escriba la letra r para ir a la Consola de recuperación.
  4. Escriba la unidad que contiene Windows (normalmente C:) y pulse Intro.
  5. En el cuadro de entrada, escriba lo siguiente y pulse Intro:
    del "%System%\Com\lsass.exe"
    del "%System%\Com\smss.exe"
  6. Escriba exit y pulse Intro para reiniciar el sistema con normalidad.

Step 4

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
    • NetApi000

Step 5

Cómo restaurar las claves de registro eliminadas

  1. Sin moverse del panel izquierdo del Editor del Registro, haga doble clic en el siguiente elemento:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Minimal
  2. Haga clic con el botón derecho del ratón en la clave y seleccione Nuevo>Clave. Cambie el valor de la clave actual por el siguiente:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  3. Haga clic con el botón derecho en el nombre del valor y elija Modificar. Cambie la información de valor de esta entrada a:
    DiskDrive
  4. En el panel izquierdo, haga doble clic en el siguiente elemento:
    HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
    Control>SafeBoot>Network
  5. Haga clic con el botón derecho del ratón en la clave y seleccione Nuevo>Clave. Cambie el valor de la clave actual por el siguiente:
    {4D36E967-E325-11CE-BFC1-08002BE10318}
  6. Haga clic con el botón derecho en el nombre del valor y elija Modificar. Cambie la información de valor de esta entrada a:
    DiskDrive
  7. Cierre el Editor del Registro.

Step 6

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: ShowSuperHidden = "0"
      To: ShowSuperHidden = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
    • From: Type = "radio"
      To: Type = "checkbox"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • From: NoDriveTypeAutoRun = "91"
      To: NoDriveTypeAutoRun = "{user defined}"

Step 7

Buscar y eliminar los archivos de AUTORUN.INF creados por PE_PAGIPEF.BY que contienen las siguientes cadenas

[ learnMore ]
[AutoRun]
open=pagefile.pif
shell\open=[garbage text]
shell\open\Command=pagefile.pif
shell\open\Default=1
shell\explore=[garbage text]
shell\explore\Command=pagefile.pif

Step 8

Explorar el equipo con su producto de Trend Micro para limpiar los archivos detectados como PE_PAGIPEF.BY En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.


Did this description help? Tell us how we did.