Worm.Win32.VOOLS.AO

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Aprovecha las vulnerabilidades del software para propagarse a otros equipos de la red.

Este malware se elimina tras la ejecución.

Instalación

Infiltra los archivos siguientes:

• %Windows%\NetworkDistribution\svchost.exe <- detected as TROJ_EQUATED.LZCMT
• %Windows%\NetworkDistribution\spoolsv.exe <- detected as BKDR_EQUATED.LZCMU
• %System%\dllhostex.exe <- detected as Coinminer.Win32.MALXMR.SMBM4
• %System%\{Random Name}.dll <- detected as Trojan.Win32.VOOLS.SMAL01
  The name is generated by combining three (3) random strings from the following list:
  • Remote
  • Function
  • Secure
  • Microsoft
  • Network
  • Event
  • Manager
  • Service
  • Host
  • Client
  • NetBIOS
  • RPC
  • Protocol
  • Update
  • TimeUPnP
• %System%\msvc{3-random character}.{random extension} <- contains encrypted shellcode
  The extension is randomly picked from the following list:
  • xsl
  • ini
  • dll
  • txt
  • log
  • dat
  • nls
• Component files used for the malware's EternalBlue/DoublePulsar Exploitation:
  • %Windows%\NetworkDistribution\Diagnostics.txt
  • %Windows%\NetworkDistribution\Eternalblue-2.2.0.fb
  • %Windows%\NetworkDistribution\Eternalchampion-2.0.0.fb
  • %Windows%\NetworkDistribution\_pytrch.pyd
  • %Windows%\NetworkDistribution\adfw-2.dll
  • %Windows%\NetworkDistribution\adfw.dll
  • %Windows%\NetworkDistribution\cnli-0.dll
  • %Windows%\NetworkDistribution\cnli-1.dll
  • %Windows%\NetworkDistribution\coli-0.dll
  • %Windows%\NetworkDistribution\crli-0.dll
  • %Windows%\NetworkDistribution\dmgd-1.dll
  • %Windows%\NetworkDistribution\dmgd-4.dll
  • %Windows%\NetworkDistribution\esco-0.dll
  • %Windows%\NetworkDistribution\etch-0.dll
  • %Windows%\NetworkDistribution\etchCore-0.x64.dll
  • %Windows%\NetworkDistribution\etchCore-0.x86.dll
  • %Windows%\NetworkDistribution\eteb-2.dll
  • %Windows%\NetworkDistribution\etebCore-2.x64.dll
  • %Windows%\NetworkDistribution\etebCore-2.x86.dll
  • %Windows%\NetworkDistribution\exma-1.dll
  • %Windows%\NetworkDistribution\exma.dll
  • %Windows%\NetworkDistribution\iconv.dll
  • %Windows%\NetworkDistribution\libcurl.dll
  • %Windows%\NetworkDistribution\libeay32.dll
  • %Windows%\NetworkDistribution\libiconv-2.dll
  • %Windows%\NetworkDistribution\libxml2.dll
  • %Windows%\NetworkDistribution\out.dll
  • %Windows%\NetworkDistribution\pcla-0.dll
  • %Windows%\NetworkDistribution\pcre-0.dll
  • %Windows%\NetworkDistribution\pcrecpp-0.dll
  • %Windows%\NetworkDistribution\pcreposix-0.dll
  • %Windows%\NetworkDistribution\posh-0.dll
  • %Windows%\NetworkDistribution\posh.dll
  • %Windows%\NetworkDistribution\pytrch.py
  • %Windows%\NetworkDistribution\pytrch.pyc
  • %Windows%\NetworkDistribution\riar-2.dll
  • %Windows%\NetworkDistribution\riar.dll
  • %Windows%\NetworkDistribution\spoolsv.xml
  • %Windows%\NetworkDistribution\ssleay32.dll
  • %Windows%\NetworkDistribution\svchost.xml
  • %Windows%\NetworkDistribution\tibe-1.dll
  • %Windows%\NetworkDistribution\tibe-2.dll
  • %Windows%\NetworkDistribution\tibe.dll
  • %Windows%\NetworkDistribution\trch-0.dll
  • %Windows%\NetworkDistribution\trch-1.dll
  • %Windows%\NetworkDistribution\trch.dll
  • %Windows%\NetworkDistribution\trfo-0.dll
  • %Windows%\NetworkDistribution\trfo-2.dll
  • %Windows%\NetworkDistribution\trfo.dll
  • %Windows%\NetworkDistribution\tucl-1.dll
  • %Windows%\NetworkDistribution\tucl.dll
  • %Windows%\NetworkDistribution\ucl.dll
  • %Windows%\NetworkDistribution\x64.dll
  • %Windows%\NetworkDistribution\x86.dll
  • %Windows%\NetworkDistribution\xdvl-0.dll
  • %Windows%\NetworkDistribution\zibe.dll
  • %Windows%\NetworkDistribution\zlib1.dll

Agrega los procesos siguientes:

• sc stop RpcPolicyMgr
• sc delete RpcPolicyMgr
• %System%\schtasks.exe /End /tn "Microsoft\Windows\UPnP\RpcPolicyHost"
• %System%\schtasks.exe /Delete /tn "Microsoft\Windows\UPnP\RpcPolicyHost"
• cmd.exe /c ping 127.0.0.1 -n 5 & cmd.exe /c del /a /f {Malware File Name}
• %System%\dllhostex.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows 2000(32-bit), XP, Server 2003(32-bit), Vista, 7, 8, 8.1, 2008(64-bit), 2012(64bit) y 10(64-bit) en C:\Windows\System32).

Crea las carpetas siguientes:

• %Windows%\NetworkDistribution

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• {ED29R9-8ED1-C760-7D789N}
• {CE9SCB-B92-FC8-A6FEDC}
• {E2088B81F-2A96-43E8-B9F522B}
• {F5175396-40C2-0218-278D6EE}
• {B8A7AE22-7F59-CDE5-71F9C2A}

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services
{DLL Name} = %System%\svchost.exe -k netsvcs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Svchost
netsvcs = {Original Data} + {DLL Name}

(Note: The default value data of the said registry entry is {Original Data}.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{DLL Name}\Parameters
ServiceDLL = %System%\{Random DLL Name}

Inicia los servicios siguientes:

• {Random DLL Name}

Otras modificaciones del sistema

Elimina los archivos siguientes:

• %Windows%\RemoteDistribution\spoolsv.exe
• %Windows%\RemoteDistribution\Microsoft\spoolsv.exe
• %Windows%\RemoteDistribution\Microsoft\svchost.exe
• %System%\WUDHostServices.exe
• %System%\ServicesMgrHost.exe
• %System%\RpcPolicyMgr.dll
• %System%\NdfPresentationView.msc
• %System%\text.log

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Elimina las carpetas siguientes:

• %Windows%\RemoteDistribution

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\NetworkPlatform\
Location Awareness
LastBackup = {Hex Values}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\NetworkPlatform\
Location
IPC = IPC

Propagación

Aprovecha las vulnerabilidades de software siguientes para propagarse a otros equipos de la red:

• EternalBlue and DoublePulsar (CVE MS17-010)

Finalización del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

• %Windows%\RemoteDistribution\spoolsv.exe
• %Windows%\RemoteDistribution\Microsoft\spoolsv.exe
• %Windows%\RemoteDistribution\Microsoft\svchost.exe
• %System%\WUDHostServices.exe
• %System%\ServicesMgrHost.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Robo de información

Recopila los siguientes datos:

• Host Name
• Local IP Address
• MAC Address

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• log.{BLOCKED}.com:80/ipc.html?

Otros detalles

Este malware se elimina tras la ejecución.