WORM_PALEVO.IIE
Trojan:Win32/Ircbrute(Microsoft), W32.Pilleuz(Symantec), W32/Rimecud.gen.an(McAfee), W32/Lethic-G(Sophos)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Threat Type:
Worm
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
TECHNICAL DETAILS
Instalación
Infiltra los archivos siguientes:
- %System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
- {Drive letter}:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Crea las siguientes copias de sí mismo en el sistema afectado:
- %System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Crea las carpetas siguientes:
- %System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "%System Root%\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe"
Otras modificaciones del sistema
Elimina las siguientes claves de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon\
{hifaggot}
Propagación
Crea las carpetas siguientes en todas las unidades extraíbles:
- {Drive letter}:\RECYCLER
- {Drive letter}:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013
Este malware infiltra la(s) siguiente(s) copia(s) de sí mismo en todas las unidades extraíbles:
- {Drive letter}:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.