Kaspersky Threats

Fecha de detección

07/10/2012

Clase

Worm

Plataforma

Win32

Descripción

Al infectar el sistema host:

Cuando el malware se ejecuta por primera vez, busca
```
 % system32% wmicuclt.exe y% system32% wscript.exe 
```
. Cuando se encuentre, infectará los archivos originales al agregar una parte de malware en la última sección del archivo (consulte el método de infección a continuación);
Crea el servicio "Servicio de conexión de acceso remoto" en
```
HKLMSystemControlSetServices (así como otros ControlSets). 
```
La cadena "ImagePath" apuntará al archivo infectado en% system32% wmicuclt.exe;
Crea un nuevo valor en HKLMSystemSelect. El nombre del valor puede ser "rtm" o "v". HKLMSystemSelect es utilizado por el sistema operativo Windows para almacenar información de arranque. El cargador del sistema operativo lee la configuración de arranque Actual / Predeterminado / Fallido / LastKnownGood mientras carga el sistema operativo. El malware utiliza la clave de registro para almacenarse a sí mismo o datos específicos de virus en esta ubicación;
Inyecta código en
```
 SVCHOST.EXE, LSASS.EXE 
```

Evita infectar las siguientes carpetas:

 "Windows", "winnt", "s", "qq", "Outlook", "Información del volumen del sistema", 



"Reciclador", "InternetExplorer", "Messenger", 



"Archivos comunes"

Busca los parámetros de acceso WOW64, SQSh, Srh si están instalados en el sistema host;
Si se detecta una sesión remota (para el host infectado), intentará acceder a la unidad remota ejecutando el comando de Windows Client " tsclient $ c" e infectará los archivos * .exe. Como resultado, el host de conexión también se infectará;

Infecta los archivos en el host remoto




 "Admin $" system32wmicuclt.exe, 



 "Admin $" system32wscript.exe

Mapas de unidades remotas a través de remotehostipc $

URL remota:

El gusano se puede conectar a las URL que contienen las subcadenas "ppift", "ppns" en el nombre de un sitio web;

Cuando infecta los archivos, hace lo siguiente:

Busca carpetas compartidas en la computadora infectada e infecta todos los archivos * .exe que encuentre;
Si el acceso a una carpeta compartida requiere credenciales de usuario, intenta forzar la fuerza de las cuentas de usuario y las contraseñas. Estas son solo algunas variantes:
```
 "Admin" / "678", "admin" / "1qaz2wsx", "usuario" / "1", "prueba" / "1", 



"prueba" / "321" 
```
y otras combinaciones simples de contraseñas para cuentas o contraseñas, como
```
 "1234", "56", "qwert", "letmein", "secreto", "rockyou", "iloveyou", 



"raíz", "súper", "princesa", "alfa", "Patrick", "temperatura", 



"P @ ssW0rd" 
```
. y muchas otras palabras de moda;
Cuando infecta un archivo, se agrega al final del archivo host original, a la última sección del archivo. Modifica el encabezado del archivo escribiendo la palabra clave "PPIF" en el desplazamiento 0x28h desde el principio del archivo;
El nuevo archivo es 47,872 bytes más grande que el original.

Cómo deshabilita las aplicaciones AV

Cuando se ejecuta en el host infectado, busca procesos con las siguientes palabras en el nombre del proceso:

 "F-Secure", "IKARUS-GuardX", "360sd", "360Tray", "WP", "ShStatEx", 



"Sophos AutoUpdate Monitor", "AVP", "AVG_TRAY", "egui", 



"G Data Antivirus", "BitDefender AntiVirus",



"Trende Micro Client Framework", "kxesc", "avgnt", 



"RAvTray", "DWIN";

Cuando se encuentre, buscará una entrada de registro, la eliminará y reiniciará el sistema de inmediato. Después del reinicio, el sistema no podrá iniciar el producto AV porque no hay entrada de servicio.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Fecha de detección	07/10/2012
Clase	Worm
Plataforma	Win32
Descripción	Al infectar el sistema host: Cuando el malware se ejecuta por primera vez, busca % system32% wmicuclt.exe y% system32% wscript.exe . Cuando se encuentre, infectará los archivos originales al agregar una parte de malware en la última sección del archivo (consulte el método de infección a continuación); Crea el servicio "Servicio de conexión de acceso remoto" en HKLMSystemControlSetServices (así como otros ControlSets). La cadena "ImagePath" apuntará al archivo infectado en% system32% wmicuclt.exe; Crea un nuevo valor en HKLMSystemSelect. El nombre del valor puede ser "rtm" o "v". HKLMSystemSelect es utilizado por el sistema operativo Windows para almacenar información de arranque. El cargador del sistema operativo lee la configuración de arranque Actual / Predeterminado / Fallido / LastKnownGood mientras carga el sistema operativo. El malware utiliza la clave de registro para almacenarse a sí mismo o datos específicos de virus en esta ubicación; Inyecta código en SVCHOST.EXE, LSASS.EXE Evita infectar las siguientes carpetas: "Windows", "winnt", "s", "qq", "Outlook", "Información del volumen del sistema", "Reciclador", "InternetExplorer", "Messenger", "Archivos comunes" Busca los parámetros de acceso WOW64, SQSh, Srh si están instalados en el sistema host; Si se detecta una sesión remota (para el host infectado), intentará acceder a la unidad remota ejecutando el comando de Windows Client " tsclient $ c" e infectará los archivos * .exe. Como resultado, el host de conexión también se infectará; Infecta los archivos en el host remoto "Admin $" system32wmicuclt.exe, "Admin $" system32wscript.exe Mapas de unidades remotas a través de remotehostipc $ URL remota: El gusano se puede conectar a las URL que contienen las subcadenas "ppift", "ppns" en el nombre de un sitio web; Cuando infecta los archivos, hace lo siguiente: Busca carpetas compartidas en la computadora infectada e infecta todos los archivos * .exe que encuentre; Si el acceso a una carpeta compartida requiere credenciales de usuario, intenta forzar la fuerza de las cuentas de usuario y las contraseñas. Estas son solo algunas variantes: "Admin" / "678", "admin" / "1qaz2wsx", "usuario" / "1", "prueba" / "1", "prueba" / "321" y otras combinaciones simples de contraseñas para cuentas o contraseñas, como "1234", "56", "qwert", "letmein", "secreto", "rockyou", "iloveyou", "raíz", "súper", "princesa", "alfa", "Patrick", "temperatura", "P @ ssW0rd" . y muchas otras palabras de moda; Cuando infecta un archivo, se agrega al final del archivo host original, a la última sección del archivo. Modifica el encabezado del archivo escribiendo la palabra clave "PPIF" en el desplazamiento 0x28h desde el principio del archivo; El nuevo archivo es 47,872 bytes más grande que el original. Cómo deshabilita las aplicaciones AV Cuando se ejecuta en el host infectado, busca procesos con las siguientes palabras en el nombre del proceso: "F-Secure", "IKARUS-GuardX", "360sd", "360Tray", "WP", "ShStatEx", "Sophos AutoUpdate Monitor", "AVP", "AVG_TRAY", "egui", "G Data Antivirus", "BitDefender AntiVirus", "Trende Micro Client Framework", "kxesc", "avgnt", "RAvTray", "DWIN"; Cuando se encuentre, buscará una entrada de registro, la eliminará y reiniciará el sistema de inmediato. Después del reinicio, el sistema no podrá iniciar el producto AV porque no hay entrada de servicio.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Worm.Win32.Fipp

Al infectar el sistema host:

URL remota:

Cuando infecta los archivos, hace lo siguiente:

Cómo deshabilita las aplicaciones AV