WORM_COINMINER.INJ

Se propaga a través de las redes compartidas e infiltra copias de sí mismo en las redes disponibles.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %Application Data%\Temps\DOC001.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Infiltra los archivos siguientes:

• %User Temp%\nst{4 random characters}.tmp\inetc.dll - connects to download java12.exe
• %User Temp%\java.exe - detected as Coinminer_MALBTC.C-SFX (which will drop a file detected as Coinminer_MALBTC.C)
• %Temporary Internet Files%\Content.IE5\{8 Random Characters}\java[1].dat - detected as Coinminer_MALBTC.C-SFX
• %User Temp%\java12.exe - deleted afterwards

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Infiltra y ejecuta los archivos siguientes:

• %Application Data%\Temps\NsCpuCNMiner32.exe - detected as Coinminer_MALXMR.SM-WIN32
• %Application Data%\Temps\NsCpuCNMiner64.exe - detected as Coinminer_CryptoNight.SM-WIN64
• %AppDataLocal%\Temp\java.exe - detected as Coinminer_MALBTC.C-SFX

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las carpetas siguientes:

• %Application Data%\Temps\

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Técnica de inicio automático

Este malware infiltra el/los archivo(s) siguiente(s) en la carpeta de inicio de Windows para permitir su ejecución automática cada vez que se inicia el sistema:

• %Application Data%\Microsoft\Windows\Start Menu\Programs\Startup\explorer.lnk (which points to the dropped copy in %Application Data%\Temps\DOC001.exe)

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Propagación

Se propaga a través de las redes compartidas e infiltra copias de sí mismo en las redes disponibles.

Infiltra copias de sí mismo en las unidades siguientes:

• {All Available Drives}:\DOC001.exe

Rutina de descarga

Este malware descarga el archivo desde la siguiente URL y le cambia el nombre al almacenarlo en el sistema afectado:

• http://{BLOCKED}1s.ru/java.dat
• http://{BLOCKED}1s.ru/tess.html
• http://{BLOCKED}op.ru/java12.dat
• http://{BLOCKED}îp.ru/ (site is inaccessible)