WORM_PSYOKYM.SM23
Worm:Win32/Psyokym.A (Microsoft),
Windows
Threat Type:
Worm
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado. Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %All Users Profile%\{User Name}.exe
Infiltra los archivos siguientes:
- %All Users Profile%\habeys.exe
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
System32 = "%All Users Profile%\{User Name}.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DownloadManager
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "1"
(Note: The default value data of the said registry entry is {Default}.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = "0"
(Note: The default value data of the said registry entry is {Default}.)
Propagación
Infiltra copias de sí mismo en todas las unidades extraíbles conectadas a un sistema afectado.
Infiltra copias de sí mismo en las unidades siguientes:
- {Removable Drive Letter}:\Movie.exe
- {Removable Drive Letter}:\Photo.exe
- {Removable Drive Letter}:\{User Name}.exe
Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.