Propagacion del Virus AUTORUN VENDETTA a través de unidades mapeadas, compartidas y extraibles, incluidos pendrive

Publicado el 12 enero 2010 ¬ 13:54 pmh.mscComentarios desactivados en Propagacion del Virus AUTORUN VENDETTA a través de unidades mapeadas, compartidas y extraibles, incluidos pendrive

Nos ha llegado como muestra para analizar un ejecutable con icono de carpeta (que quienes no tienen configurado ver las extensiones les puede engañar y ejecutar el virus al hacer doble click en la supuesta carpeta) que ha resultado ser malware.

Este truco lo emplea al máximo, pues sustituye las carpetas que elimina (todas las que puede del ROOT) menos las de windows, Datos de programa y Archivos de Programa, por el propio fichero, con lo que el usuario al ir a entrar en una carpeta conocida, lo que hará será ejecutar el virus !

Luego crea en las unidades mapeadas ficheros para la propagación a través de AUTORUN.INF, lanzando un fichero de nombre Vebdetta.exe y visualizando el texto :

“Cuando te castigan, tienes que castigar del mismo modo a quienes te castigaron”

Crea diferentes ficheros:
%WinSys%\ SSPIPEX.SCR
%WinSys%\ SSTREXT3D.SCR
%WinDir%\ Sistema\ LSASS.EXE
%WinSys%\ $ntuninstallkbp908531$\ CSRSS.EXE
%UserName%\ $ntuninstallrwudf071000$\ SERVICES.EXE
%Archivos de Programa%\ $ntuninstallkbt8723182$\ WINLOGON.EXE

y los cuatro ultimos los utiliza aleatoriamente lanzandolos en cada reinicio, en la clave del userinit:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = %sysdir%\userinit.exe,c:\program files\$ntuninstallkbt8723182$\winlogon.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Userinit”=”C:\\WINDOWS\\system32\\userinit.exe,c:\\windows\\sistema\\lsass.exe”
            C:\\WINDOWS\\system32\\userinit.exe,c:\\windows\\system32\\$ntuninstallkbp908531$\\csrss.exe
            C:\\WINDOWS\\system32\\userinit.exe,c:\\documents and settings\\administrador\\$ntuninstallrwudf071000$\\services.exe
            C:\program files\$ntuninstallkbt8723182$\winlogon.exe

Cabe resaltar que la carpeta donde crea el LSASS.EXE no es la de sistema, C:\windows\system32\, donde hay el verdadero LSASS.EXE del sistema, sino en C:\windows\sistema\ siendo facil crear confusión por ello…
A partir del ELISTARA de hoy, 20.09 se controlará este nuevo especimen, si bien pedirá que se instale el ELINOTIF para poder, tras reiniciar, terminar de eliminarlo, ya que está residente en memoria y se regenera continuamente por mas que se le borren los ficheros malware en cuestión

saludos

ms, 12-1-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies