Author: Karl Dominguez   

 PLATFORM:

Windows 2000, XP, Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Se propaga vía redes compartidas, Se propaga vía unidades extraíbles

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

Modifica ciertas entradas de registro para ocultar extensiones de archivo.

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  TECHNICAL DETAILS

File size: 191,675 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 17 декабря 2010
PAYLOAD: Modifies HOSTS file, Terminates processes

Detalles de entrada

Puede haberlo descargado otro malware/grayware/spyware desde sitios remotos.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\Default.scr
  • %System%\config\cache\Dasktop.ini
  • %System%\config\lsass.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Utiliza el icono predeterminado de la carpeta de Windows para engañar a los usuarios e incitarles a abrirla. Si hace doble clic en el archivo se ejecutará este malware.

Termina su ejecución cuando encuentra los siguientes procesos en la memoria del sistema afectado:

  • OLLYDBG
  • SICE
  • SIWVID
  • NTICE
  • REGSYS
  • REGVXG
  • FILEVXG
  • FILEM
  • TRW
  • ICEEXT

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Intel Audio Driver = %System%\config\lsass.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = %System%\Default.scr

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
15 = guardgui.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion\systemrestore
DisableSR = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Associations
LowRiskFileTypes = .exe;.bat;.reg;.scr;

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Attachments
SaveZoneInformation = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer
DisallowRun = 1

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
0 = avp.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
1 = avz.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
2 = autoruns.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
3 = outpost.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
4 = spidernt.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
5 = SpyDerAgent.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
6 = dwengine.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
7 = spiderui.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
8 = acs.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
9 = op_mon.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
10 = klnagent.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
11 = egui.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
12 = sched.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
13 = avgnt.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Disallowrun
14 = avguard.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
explorer
NoFolderoptions = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
DisableNotifications = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
DoNotAllowExceptions = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StardardProfile
enableFirewall = 0

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\SystemRestore
DisableSR = 1

(Note: The default value data of the said registry entry is 0.)

HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveTimeOut = 100

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveActive = 1

(Note: The default value data of the said registry entry is {user-defined}.)

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = 0

(Note: The default value data of the said registry entry is 1.)

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
ShowSuperHidden = 0

(Note: The default value data of the said registry entry is 1.)

Elimina las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\SafeBoot

Modifica las siguientes entradas de registro para ocultar extensiones de archivo.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
HideFileExt = 1

(Note: The default value data of the said registry entry is 0.)

Propagación

Busca carpetas en todas las unidades físicas y extraíbles e infiltra copias de sí mismo dentro de ellas con el formato {nombre de carpeta}.EXE.

Este malware infiltra las siguientes copias de sí mismo en todas las unidades físicas y extraíbles:

  • {random characters}.scr

Infiltra un archivo AUTORUN.INF para que ejecute automáticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Finalización del proceso

Finaliza procesos o servicios que contienen una de las cadenas siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • acs.exe
  • autoruns.exe
  • avgnt.exe
  • avguard.exe
  • avp.exe
  • avz.exe
  • dwengine.exe
  • egui.exe
  • ESET NOD32 Antivirus
  • ESET Smart Security
  • filemon.exe
  • guardgui.exe
  • HiJackThis.exe
  • Kaspersky Internet Security
  • KillProcess.exe
  • klnagent.exe
  • msconfig.exe
  • op_mon.exe
  • OS.exe
  • outpost.exe
  • phunter.exe
  • PrcInfo.exe
  • Prcview.exe
  • Process Viewer
  • procexp.exe
  • procmon.exe
  • Reg Organizer
  • regedit.exe
  • regmon.exe
  • sched.exe
  • Security Task Manager
  • servise.exe
  • spidernt.exe
  • spiderui.exe
  • SpyDerAgent.exe
  • Symantec AntiVirus
  • sysinspector.exe
  • TaskInfo.exe
  • Unlocker.exe
  • UnlockerAssistant.exe

  SOLUTION

Minimum scan engine: 8.900
VSAPI Pattern-Datei: 7.706.01
VSAPI Pattern veröffentlicht am: 17 de декабря de 2010
VSAPI Pattern veröffentlicht am: 12/17/2010 12:00:00 AM

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Explorar el equipo con su producto de Trend Micro para eliminar los archivos detectados como WORM_QHOST.TX En caso de que el producto de Trend Micro ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no serán necesarios más pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta página de Base de conocimientos para obtener más información.

Step 3

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Intel Audio Driver = %System%\config\lsass.exe

HKEY_CURRENT_USER\Control Panel\Desktop
SCRNSAVE.EXE = %System%\Default.scr

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\systemrestore
DisableSR = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
LowRiskFileTypes = .exe;.bat;.reg;.scr;

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
SaveZoneInformation = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DisallowRun = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
0 = avp.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
1 = avz.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
2 = autoruns.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
3 = outpost.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
4 = spidernt.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
5 = SpyDerAgent.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
6 = dwengine.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
7 = spiderui.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
8 = acs.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
9 = op_mon.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
10 = klnagent.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
11 = egui.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
12 = sched.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
13 = avgnt.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
14 = avguard.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun
15 = guardgui.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer
NoFolderoptions = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
FirewallOverride = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
FirewallDisableNotify = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
DisableNotifications = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
DoNotAllowExceptions = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StardardProfile
enableFirewall = 0

Step 4

Eliminar estas cadenas que el malware/grayware/spyware ha añadido al archivo HOSTS

[ learnMore ]
     174.133.168.212 www.viruslist.com
    174.133.168.212 www.kaspersky.ru
    174.133.168.212 www.kaspersky.com
    174.133.168.212 www.securelist.com
    174.133.168.212 z-oleg.com
    174.133.168.212 www.trendsecure.com
    174.133.168.212 ftp.drweb.com
    174.133.168.212 virusinfo.info
    174.133.168.212 www.viruslab.ru
    174.133.168.212 www.novirus.ru
    174.133.168.212 online.drweb.com
    174.133.168.212 www.informyx.ru
    174.133.168.212 vms.drweb.com
    174.133.168.212 stopvirus.ru
    174.133.168.212 www.esetnod32.ru
    174.133.168.212 devbuilds.kaspersky-labs.com
    174.133.168.212 www.agnitum.ru
    174.133.168.212 www.drweb.com
    174.133.168.212 www.avirus.ru
    174.133.168.212 dnl-00.geo.kaspersky.com
    174.133.168.212 dnl-00.geo.kaspersky.com
    174.133.168.212 dnl-01.geo.kaspersky.com
    174.133.168.212 dnl-02.geo.kaspersky.com
    174.133.168.212 dnl-03.geo.kaspersky.com
    174.133.168.212 dnl-04.geo.kaspersky.com
    174.133.168.212 dnl-05.geo.kaspersky.com
    174.133.168.212 dnl-06.geo.kaspersky.com
    174.133.168.212 dnl-07.geo.kaspersky.com
    174.133.168.212 dnl-08.geo.kaspersky.com
    174.133.168.212 dnl-09.geo.kaspersky.com
    174.133.168.212 dnl-10.geo.kaspersky.com
    174.133.168.212 dnl-11.geo.kaspersky.com
    174.133.168.212 dnl-12.geo.kaspersky.com
    174.133.168.212 dnl-13.geo.kaspersky.com
    174.133.168.212 dnl-14.geo.kaspersky.com
    174.133.168.212 dnl-15.geo.kaspersky.com
    174.133.168.212 dnl-15.geo.kaspersky.com
    174.133.168.212 dnl-16.geo.kaspersky.com
    174.133.168.212 dnl-17.geo.kaspersky.com
    174.133.168.212 dnl-18.geo.kaspersky.com
    174.133.168.212 dnl-19.geo.kaspersky.com
    174.133.168.212 dnl-20.geo.kaspersky.com
    174.133.168.212 downloads1.kaspersky-labs.com
    174.133.168.212 downloads2.kaspersky-labs.com
    174.133.168.212 downloads3.kaspersky-labs.com
    174.133.168.212 downloads4.kaspersky-labs.com
    174.133.168.212 downloads5.kaspersky-labs.com
    174.133.168.212 msk1.drweb.com
    174.133.168.212 msk2.drweb.com
    174.133.168.212 msk3.drweb.com
    174.133.168.212 msk4.drweb.com
    174.133.168.212 msk5.drweb.com
    174.133.168.212 download.eset.com
    174.133.168.212 u40.eset.com
    174.133.168.212 u41.eset.com
    174.133.168.212 u42.eset.com
    174.133.168.212 u43.eset.com
    174.133.168.212 u44.eset.com
    174.133.168.212 u45.eset.com
    174.133.168.212 u46.eset.com
    174.133.168.212 u47.eset.com
    174.133.168.212 u48.eset.com
    174.133.168.212 u49.eset.com
    174.133.168.212 u50.eset.com
    174.133.168.212 u51.eset.com
    174.133.168.212 u52.eset.com
    174.133.168.212 u53.eset.com
    174.133.168.212 u54.eset.com
    174.133.168.212 u55.eset.com
    174.133.168.212 u56.eset.com
    174.133.168.212 u57.eset.com
    174.133.168.212 u58.eset.com
    174.133.168.212 u59.eset.com
    174.133.168.212 um10.eset.com
    174.133.168.212 um11.eset.com
    174.133.168.212 um12.eset.com
    174.133.168.212 um13.eset.com
    174.133.168.212 um14.eset.com
    174.133.168.212 um15.eset.com
    174.133.168.212 um16.eset.com
    174.133.168.212 um17.eset.com
    174.133.168.212 um18.eset.com
    174.133.168.212 um19.eset.com

Step 5

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveTimeOut = 100
{user-defined}

HKEY_CURRENT_USER\Control Panel\Desktop
ScreenSaveActive = 1
{user-defined}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = 1
0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt = 1
0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden = 0
1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
1

Step 6

Buscar y eliminar estos archivos

[ learnMore ]
Puede que algunos de los archivos del componente estén ocultos. Asegúrese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opción "Más opciones avanzadas" para que el resultado de la búsqueda incluya todos los archivos y carpetas ocultos. {malware file name}.lnk

Step 7

Buscar y eliminar los archivos de AUTORUN.INF creados por WORM_QHOST.TX que contienen las siguientes cadenas

[ learnMore ]
;{garbage codes}
[AutoRun]
;{garbage codes}
open={malware file name}.scr
;{garbage codes}
shell\Open\command={malware file name}.scr
;{garbage codes}

Step 8

Restaurar archivos a partir de una copia de seguridad Solo se pueden restaurar los archivos relacionados con Microsoft. En caso de que este malware/grayware/spyware también haya eliminado archivos relativos a programas que no sean de Microsoft, vuelva a instalar los programas en cuestión en el equipo.


Did this description help? Tell us how we did.