WORM_KOLAB.HC
Troj/Nyrate-L (Sophos), W32/Kryptik.ANN!tr (Fortinet) ,W32/FraudLoad.B.gen!Eldorado (generic, not disinfectable) (Fprot) ,Worm:Win32/Rimecud.B (Microsoft) ,W32/Rimecud.gen.bm (McAfee) ,a variant of Win32/Injector.AWY trojan (Eset) ,W32.Pilleuz (Symantec) ,Generic (Panda)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
TECHNICAL DETAILS
Instalación
Este malware infiltra los siguientes archivos no maliciosos:
- %System Root%\RECYCLER\{SID}\Desktop.ini
- {drive letter}:\usecure\Desktop.ini
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Crea las siguientes copias de sí mismo en el sistema afectado:
- %System Root%\RECYCLER\{SID}\MsMxEng.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Crea las carpetas siguientes:
- %System Root%\RECYCLER\{SID}
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%System Root%\RECYCLER\{SID}\MsMxEng.exe"
Propagación
Crea las carpetas siguientes en todas las unidades extraíbles:
- usecure
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- usecure\usecure32.exe
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.