Author: Rhena Inocencio   
 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.

Modifica archivos para impedir la ejecución correcta de programas y aplicaciones.

Este malware infiltra copias de sí mismo en las unidades extraíbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.

  TECHNICAL DETAILS

File size: 103,047 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 28 de мая de 2012

Detalles de entrada

Llega tras conectar las unidades extraíbles afectadas a un sistema.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Application Data%\smss.exe
  • %Application Data%\services.exe
  • %Application Data%\lsass.exe
  • %Application Data%\inetinfo.exe
  • %Application Data%\csrss.exe
  • %Application Data%\winlogon.exe
  • %System%\{USER NAME}'S SETTING.SCR
  • %System%\drivers\etc\HOSTS-DENIED BY-{USER NAME}.COM
  • %User Profile%\TEMPLATES\WOWTUMPEH.COM
  • %Windows%\SHELLNEW\bronstab.exe
  • %Windows%\EKSPLORASI.PIF
  • %User Startup%\Empty.pif

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

. %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

)

Infiltra los archivos siguientes:

  • %Application Data%\LISTHOST8.TXT
  • %Application Data%\UPDATE.8.BRON.TOK.BIN

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Utiliza el Programador de tareas de Windows para crear una tarea programada que ejecute las copias que infiltra.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
WIndows\CurrentVersion\Run
Bron-Spizaetus = "%Windows%\ShellNew\bronstab.exe"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Tok-Cirrhatus = "%Application Data%\smss.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe "C:\WINDOWS\eksplorasi.pif""

Otras modificaciones del sistema

Modifica los archivos siguientes:

  • %System Root%\AUTOEXEC.BAT

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

)

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar\ShellBrowser
{01E04581-4EEE-11D0-BFE9-00AA005B4383} = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Toolbar\Explorer
ITBarLayout = "{random values}"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableRegistryTools = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
System
DisableCMD = "0"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
NoFolderOptions = "1"

HKEY_CURRENT_USER\Software\Microsoft\
Windows\ShellNoRoam\Bags\
61\Shell
FolderType = "MyDocuments"

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "0"

(Note: The default value data of the said registry entry is "1".)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "1"

(Note: The default value data of the said registry entry is "0".)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = "0"

(Note: The default value data of the said registry entry is "1".)

Propagación

Este malware infiltra copias de sí mismo en las unidades extraíbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.