WORM_HELOMPY.KYL
Worm/Autoit.ABJA(AVG), Trojan.Win32.Autoit.wt(kaspersky), Worm:Win32/Helompy.A(Microsoft), Win32/Autoit.FL(ESET), W32.Harakit(Norton)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Worm
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Este malware infiltra copias de sí mismo en las unidades extraíbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.
No obstante, de este modo no se podrá acceder a los sitios mencionados.
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- C:\Win\lsass.exe
- If drive C is not a fixed drive or inaccessible drop in the following.
- D:\programs\lsass.exe
Infiltra los archivos siguientes:
- C:\Win\names.txt - contains the filename of the file to download.
Crea las carpetas siguientes:
- C:\Win
- If C is not a fixed drive or not accessible create the following folder.
- D:\programs
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
run32 = "{Malware Path and Filename}"
Propagación
Este malware infiltra copias de sí mismo en las unidades extraíbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.
Rutina de descarga
Accede a los siguientes sitios Web para descargar archivos:
- http://peradjoka.{BLOCKED}5.com/{User name}/{File name}.rar
- http://peradjoka.{BLOCKED}5.com/{Computer name}/{File name}.rar
No obstante, de este modo no se podrá acceder a los sitios mencionados.
Información sustraída
Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:
- http://peradjoka.{BLOCKED}5.com/cmd.php?command={Stolen Information}