Author: Rika Joi Gregorio   
 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    Yes

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet, Eliminado por otro tipo de malware

Se conecta a determinados sitios Web para enviar y recibir información.

  TECHNICAL DETAILS

File type: EXE
Memory resident: Yes
PAYLOAD: Encrypts files, Connects to URLs/IPs

Instalación

Agrega las carpetas siguientes:

  • %System Root%\{7 characters from UID}

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Infiltra los archivos siguientes:

  • %User Startup%\DECRYPT_INSTRUCTION.TXT
  • %User Startup%\DECRYPT_INSTRUCTION.HTML
  • %User Startup%\INSTALL_TOR.URL

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

)

Infiltra y ejecuta los archivos siguientes:

  • %Desktop%\DECRYPT_INSTRUCTION.TXT
  • %Desktop%\DECRYPT_INSTRUCTION.HTML
  • %Desktop%\INSTALL_TOR.URL

(Nota: %Desktop% es la carpeta Escritorio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Escritorio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Escritorio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Escritorio).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System Root%\{7 characters from UID}\{7 characters from UID}.exe
  • %Application Data%\{7 characters from UID}.exe
  • %User Startup%\{7 characters from UID}.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{7characters from UID} = "%Application Data%\{7 characters from UID}.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{6 characters from UID} = "%System Root%\{7 characters from UID}\{7 characters from UID}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}\Recent File List

HKEY_CURRENT_USER\Software\Vocal AppWizard-Generated Applications\
{random}\Settings

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

  • http://www.{BLOCKED}apmak.com/{random value}
  • http://www.{BLOCKED}tringen.de/wordpress/{random value}
  • http://www.{BLOCKED}psphotography.co.uk/blog/{random value}
  • http://www.{BLOCKED}nguild.com/{random value}
  • http://www.{BLOCKED}e.be/{random value}
  • http://www.{BLOCKED}-schwarzenberg.de/wp-content/themes/fdp-asz/{random value}
  • http://www.{BLOCKED}ntiques.co.uk/blog/{random value}
  • http://www.{BLOCKED}erburg.ch/wordpress/{random value}
  • http://www.{BLOCKED}info.com/wp-content/themes/mh/{random value}
  • http://www.{BLOCKED}ifesupport.com/{random value}
  • http://eportfolio.{BLOCKED}man.ca/blog/{random value}
  • http://www.{BLOCKED}man.com/wp-content/themes/s431_Blue/{random value}
  • http://{BLOCKED}tner.cz/{random value}
  • http://www.{BLOCKED}mann.de/{random value}
  • http://www.{BLOCKED}rda.com/blog-trabajos/{random value}
  • http://www.{BLOCKED}r.at/jesneu/wp-content/themes/Girl/{random value}
  • http://www.{BLOCKED}rideal.com.br/site/{random value}
  • http://www.{BLOCKED}mes.com/{random value}

Cifra los archivos con las extensiones siguientes:

  • .pdf
  • .pdf
  • .pot
  • .pot
  • .hta
  • .xlt
  • .xlt
  • .pps
  • .pps
  • .xlw
  • .xlw
  • .dot
  • .dot
  • .rtf
  • .rtf
  • .ppt
  • .ppt
  • .xls
  • .xls
  • .doc
  • .doc
  • .xml
  • .xml
  • .htm
  • .htm
  • .html
  • .html
  • .hta
  • .zip
  • .dvr-ms
  • .wvx
  • .wmx
  • .wmv
  • .wm
  • .mpv2
  • .mpg
  • .mpeg
  • .mpe
  • .mpa
  • .mp2v
  • .mp2
  • .m1v
  • .IVF
  • .asx
  • .asf
  • .wax
  • .snd
  • .rmi
  • .m3u
  • .au
  • .aiff
  • .aifc
  • .aif
  • .midi
  • .mid
  • .wma
  • .wav
  • .mp3
  • .wmf
  • .tiff
  • .tif
  • .rle
  • .png
  • .jpeg
  • .jpe
  • .jpg
  • .jfif
  • .ico
  • .gif
  • .emf
  • .dib
  • .bmp