ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Worm.Win32.Fipp

Fecha de detección 07/10/2012
Clase Worm
Plataforma Win32
Descripción

Al infectar el sistema host:

  • Cuando el malware se ejecuta por primera vez, busca
     % system32% wmicuclt.exe y% system32% wscript.exe 

    . Cuando se encuentre, infectará los archivos originales al agregar una parte de malware en la última sección del archivo (consulte el método de infección a continuación);

  • Crea el servicio "Servicio de conexión de acceso remoto" en
    
    
    
    HKLMSystemControlSetServices (así como otros ControlSets). 

    La cadena "ImagePath" apuntará al archivo infectado en% system32% wmicuclt.exe;

  • Crea un nuevo valor en HKLMSystemSelect. El nombre del valor puede ser "rtm" o "v". HKLMSystemSelect es utilizado por el sistema operativo Windows para almacenar información de arranque. El cargador del sistema operativo lee la configuración de arranque Actual / Predeterminado / Fallido / LastKnownGood mientras carga el sistema operativo. El malware utiliza la clave de registro para almacenarse a sí mismo o datos específicos de virus en esta ubicación;
  • Inyecta código en
     SVCHOST.EXE, LSASS.EXE 
  • Evita infectar las siguientes carpetas:
     "Windows", "winnt", "s", "qq", "Outlook", "Información del volumen del sistema", 
    
    
    
    "Reciclador", "InternetExplorer", "Messenger", 
    
    
    
    "Archivos comunes" 
  • Busca los parámetros de acceso WOW64, SQSh, Srh si están instalados en el sistema host;
  • Si se detecta una sesión remota (para el host infectado), intentará acceder a la unidad remota ejecutando el comando de Windows Client " tsclient $ c" e infectará los archivos * .exe. Como resultado, el host de conexión también se infectará;
  • Infecta los archivos en el host remoto
    
    
    
     "Admin $" system32wmicuclt.exe, 
    
    
    
     "Admin $" system32wscript.exe
    
    
    
    
  • Mapas de unidades remotas a través de remotehostipc $

URL remota:

  • El gusano se puede conectar a las URL que contienen las subcadenas "ppift", "ppns" en el nombre de un sitio web;

Cuando infecta los archivos, hace lo siguiente:

  • Busca carpetas compartidas en la computadora infectada e infecta todos los archivos * .exe que encuentre;
  • Si el acceso a una carpeta compartida requiere credenciales de usuario, intenta forzar la fuerza de las cuentas de usuario y las contraseñas. Estas son solo algunas variantes:
     "Admin" / "678", "admin" / "1qaz2wsx", "usuario" / "1", "prueba" / "1", 
    
    
    
    "prueba" / "321" 

    y otras combinaciones simples de contraseñas para cuentas o contraseñas, como

     "1234", "56", "qwert", "letmein", "secreto", "rockyou", "iloveyou", 
    
    
    
    "raíz", "súper", "princesa", "alfa", "Patrick", "temperatura", 
    
    
    
    "P @ ssW0rd" 

    . y muchas otras palabras de moda;

  • Cuando infecta un archivo, se agrega al final del archivo host original, a la última sección del archivo. Modifica el encabezado del archivo escribiendo la palabra clave "PPIF" en el desplazamiento 0x28h desde el principio del archivo;
  • El nuevo archivo es 47,872 bytes más grande que el original.

Cómo deshabilita las aplicaciones AV

  • Cuando se ejecuta en el host infectado, busca procesos con las siguientes palabras en el nombre del proceso:
     "F-Secure", "IKARUS-GuardX", "360sd", "360Tray", "WP", "ShStatEx", 
    
    
    
    "Sophos AutoUpdate Monitor", "AVP", "AVG_TRAY", "egui", 
    
    
    
    "G Data Antivirus", "BitDefender AntiVirus",
    
    
    
    "Trende Micro Client Framework", "kxesc", "avgnt", 
    
    
    
    "RAvTray", "DWIN"; 
  • Cuando se encuentre, buscará una entrada de registro, la eliminará y reiniciará el sistema de inmediato. Después del reinicio, el sistema no podrá iniciar el producto AV porque no hay entrada de servicio.

Enlace al original