Searching
..

Click anywhere to stop

ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Worm.Win32.Fipp

Fecha de detección 07/10/2012
Clase Worm
Plataforma Win32
Descripción

Al infectar el sistema host:

  • Cuando el malware se ejecuta por primera vez, busca
     % system32% wmicuclt.exe y% system32% wscript.exe 

    . Cuando se encuentre, infectará los archivos originales al agregar una parte de malware en la última sección del archivo (consulte el método de infección a continuación);

  • Crea el servicio "Servicio de conexión de acceso remoto" en
    HKLMSystemControlSetServices (así como otros ControlSets). 

    La cadena "ImagePath" apuntará al archivo infectado en% system32% wmicuclt.exe;

  • Crea un nuevo valor en HKLMSystemSelect. El nombre del valor puede ser "rtm" o "v". HKLMSystemSelect es utilizado por el sistema operativo Windows para almacenar información de arranque. El cargador del sistema operativo lee la configuración de arranque Actual / Predeterminado / Fallido / LastKnownGood mientras carga el sistema operativo. El malware utiliza la clave de registro para almacenarse a sí mismo o datos específicos de virus en esta ubicación;
  • Inyecta código en
     SVCHOST.EXE, LSASS.EXE 
  • Evita infectar las siguientes carpetas:
     "Windows", "winnt", "s", "qq", "Outlook", "Información del volumen del sistema", "Reciclador", "InternetExplorer", "Messenger", "Archivos comunes" 
  • Busca los parámetros de acceso WOW64, SQSh, Srh si están instalados en el sistema host;
  • Si se detecta una sesión remota (para el host infectado), intentará acceder a la unidad remota ejecutando el comando de Windows Client " tsclient $ c" e infectará los archivos * .exe. Como resultado, el host de conexión también se infectará;
  • Infecta los archivos en el host remoto
     "Admin $" system32wmicuclt.exe,  "Admin $" system32wscript.exe
  • Mapas de unidades remotas a través de remotehostipc $

URL remota:

  • El gusano se puede conectar a las URL que contienen las subcadenas "ppift", "ppns" en el nombre de un sitio web;

Cuando infecta los archivos, hace lo siguiente:

  • Busca carpetas compartidas en la computadora infectada e infecta todos los archivos * .exe que encuentre;
  • Si el acceso a una carpeta compartida requiere credenciales de usuario, intenta forzar la fuerza de las cuentas de usuario y las contraseñas. Estas son solo algunas variantes:
     "Admin" / "678", "admin" / "1qaz2wsx", "usuario" / "1", "prueba" / "1", "prueba" / "321" 

    y otras combinaciones simples de contraseñas para cuentas o contraseñas, como

     "1234", "56", "qwert", "letmein", "secreto", "rockyou", "iloveyou", "raíz", "súper", "princesa", "alfa", "Patrick", "temperatura", "P @ ssW0rd" 

    . y muchas otras palabras de moda;

  • Cuando infecta un archivo, se agrega al final del archivo host original, a la última sección del archivo. Modifica el encabezado del archivo escribiendo la palabra clave "PPIF" en el desplazamiento 0x28h desde el principio del archivo;
  • El nuevo archivo es 47,872 bytes más grande que el original.

Cómo deshabilita las aplicaciones AV

  • Cuando se ejecuta en el host infectado, busca procesos con las siguientes palabras en el nombre del proceso:
     "F-Secure", "IKARUS-GuardX", "360sd", "360Tray", "WP", "ShStatEx", "Sophos AutoUpdate Monitor", "AVP", "AVG_TRAY", "egui", "G Data Antivirus", "BitDefender AntiVirus","Trende Micro Client Framework", "kxesc", "avgnt", "RAvTray", "DWIN"; 
  • Cuando se encuentre, buscará una entrada de registro, la eliminará y reiniciará el sistema de inmediato. Después del reinicio, el sistema no podrá iniciar el producto AV porque no hay entrada de servicio.

Enlace al original
Descubra las estadísticas de las amenazas que se propagan en su región