An¨¢lisis realizado por : Michael Cabel   
 Modificado por : Rhena Inocencio
 Alias

Virus:Win32/Sality.AT(Microsoft),Worm.Win32.WBNA.mjv(Kaspersky),W32.Pilleuz(Norton)

 Plataforma:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 Riesgo general:
 Potencial de destrucci¨®n:
 Potencial de distribuci¨®n:
 Infecci¨®n divulgada:
 Revelaci¨®n de la informaci¨®n:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    File infector

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Canal de infecci¨®n Descargado de Internet, Eliminado por otro tipo de malware

Infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles conectadas a un sistema afectado. Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

  Detalles t¨¦cnicos

Tama?o del archivo 103,140 bytes
Tipo de archivo EXE
Residente en memoria No
Fecha de recepci¨®n de las muestras iniciales 07 de septiembre de 2010
Carga ¨²til Deletes files, Terminates processes

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Infiltra los archivos siguientes:

  • %Windows%\drivers\{random file name}.sys - detected as RTKT_SALITY.RL

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Crea las siguientes copias de s¨ª mismo en el sistema afectado:

  • %Windows%\winlogon.exe

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
winlogon.exe = "%Windows%\winlogon.exe"

Registra el componente infiltrado como servicio del sistema para garantizar su ejecuci¨®n autom¨¢tica cada vez que arranque el sistema. Para ello, crea las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\amsint32
Type = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\amsint32
Start = "3"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\amsint32
ErrorControl = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\amsint32
DisplayName = "amsint32"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\amsint32
ImagePath = "\??\%Windows%\drivers\{random file name}.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\amsint32\Enum
0 = "Root\LEGACY_AMSINT32\0000"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\amsint32\Enum
Count = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\amsint32\Enum
NextInstance = "1"

Registra el componente infiltrado como servicio del sistema para garantizar su ejecuci¨®n autom¨¢tica cada vez que arranque el sistema. Para ello, crea las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\amsint32

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\Afukx

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
FirewallOverride = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UpdatesDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
UacDisableNotify = "1"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = "1"

HKEY_CURRENT_USER\Software\Afukx
w{number}_{number} = "{hex value}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center\Svc
AntiVirusOverride = "1"

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

(Note: The default value data of the said registry entry is 1.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
DisableNotifications = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UpdatesDisableNotify = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
AntiVirusOverride = "1"

(Note: The default value data of the said registry entry is 0.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
FirewallOverride = "1"

(Note: The default value data of the said registry entry is 0.)

Modifica las siguientes entradas de registro para ocultar archivos con atributos ocultos:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer\
Advanced
Hidden = "2"

(Note: The default value data of the said registry entry is 1.)

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path}\{malware file name} = "{malware path}\{malware file name}:*:Enabled:ipsec"

Infecci¨®n de archivo

Infecta los siguientes tipos de archivo:

  • .EXE
  • .SCR

±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô

Infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles conectadas a un sistema afectado.

Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Finalizaci¨®n del proceso

Finaliza procesos o servicios que contienen una de las cadenas siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • NPROTECT.
  • NSCHED32.
  • NSMDTR.
  • NSSSERV.
  • NSSTRAY.
  • NTRTSCAN.
  • NTOS.
  • NTXCONFIG.
  • NUPGRADE.
  • NVCOD.
  • NVCTE.
  • NVCUT.
  • NWSERVICE.
  • OFCPFWSVC.
  • OUTPOST.
  • ONLINENT.
  • OPSSVC.
  • OP_MON.
  • PAVFIRES.
  • PAVFNSVR.
  • PAVKRE.
  • PAVPROT.
  • PAVPROXY.
  • PAVPRSRV.
  • PAVSRV51.
  • PAVSS.
  • PCCGUIDE.
  • PCCIOMON.
  • PCCNTMON.
  • PCCPFW.
  • PCCTLCOM.
  • PCTAV.
  • PERSFW.
  • PERTSK.
  • PERVAC.
  • PESTPATROL.
  • PNMSRV.
  • PREVSRV.
  • PREVX.
  • PSIMSVC.
  • QUHLPSVC.
  • QHONLINE.
  • QHONSVC.
  • QHWSCSVC.
  • QHSET.
  • RFWMAIN.
  • RTVSCAN.
  • RTVSCN95.
  • SALITY.
  • SAPISSVC.
  • SCANWSCS.
  • SAVADMINSERVICE.
  • SAVMAIN.
  • SAVPROGRESS.
  • SAVSCAN.
  • SCANNINGPROCESS.
  • SDRA64.
  • SDHELP.
  • SHSTAT.
  • ADVCHK.
  • AGB.
  • AKRNL.
  • AHPROCMONSERVER.
  • AIRDEFENSE.
  • ALERTSVC.
  • AVIRA.
  • AMON.
  • TROJAN.
  • AVZ.
  • ANTIVIR.
  • APVXDWIN.
  • ARMOR2NET.
  • ASHAVAST.
  • ASHDISP.
  • ASHENHCD.
  • ASHMAISV.
  • ASHPOPWZ.
  • ASHSERV.
  • ASHSIMPL.
  • ASHSKPCK.
  • ASHWEBSV.
  • ASWUPDSV.
  • ASWSCAN.
  • AVCIMAN.
  • AVCONSOL.
  • AVENGINE.
  • AVESVC.
  • AVEVAL.
  • AVEVL32.
  • AVGAM.
  • AVGCC.
  • AVGCHSVX.
  • AVGCSRVX.
  • AVGNSX.
  • AVGCC32.
  • AVGCTRL.
  • AVCENTER.
  • AVGNTMGR.
  • AVGSERV.
  • AVGTRAY.
  • AVGUARD.
  • AVGUPSVC.
  • AVGWDSVC.
  • AVINITNT.
  • AVKSERV.
  • AVKSERVICE.
  • AVKWCTL.
  • AVP.
  • AVP32.
  • AVPCC.
  • AVAST.
  • AVSERVER.
  • AVSCHED32.
  • AVSYNMGR.
  • AVWUPD32.
  • AVWUPSRV.
  • AVXMONITOR.
  • AVXQUAR.
  • BDSWITCH.
  • BLACKD.
  • BLACKICE.
  • CAFIX.
  • BITDEFENDER.
  • CCEVTMGR.
  • CFP.
  • CFPCONFIG.
  • CCSETMGR.
  • CFIAUDIT.
  • CLAMTRAY.
  • CLAMWIN.
  • CUREIT.
  • DEFWATCH.
  • DRVIRUS.
  • DRWADINS.
  • DRWEB.
  • DEFENDERDAEMON.
  • DWEBLLIO.
  • DWEBIO.
  • ESCANH95.
  • ESCANHNT.
  • EWIDOCTRL.
  • EZANTIVIRUSREGISTRATIONCHECK.
  • F-AGNT95.
  • FAMEH32.
  • FILEMON.
  • FIREWALL.
  • FORTICLIENT.
  • FORTITRAY.
  • FORTISCAN.
  • FPAVSERVER.
  • FPROTTRAY.
  • FPWIN.
  • FRESHCLAM.
  • EKRN.
  • FSAV32.
  • FSAVGUI.
  • FSBWSYS.
  • F-SCHED.
  • FSDFWD.
  • FSGK32.
  • FSGK32ST.
  • FSGUIEXE.
  • FSMA32.
  • FSMB32.
  • FSPEX.
  • FSSM32.
  • F-STOPW.
  • GCASDTSERV.
  • GCASSERV.
  • GIANTANTISPYWARE.
  • GUARDGUI.
  • GUARDNT.
  • GUARDXSERVICE.
  • GUARDXKICKOFF.
  • HREGMON.
  • HRRES.
  • SITECLI.
  • SPBBCSVC.
  • SPHINX.
  • SPIDERCPL.
  • SPIDERML.
  • SPIDERNT.
  • SPIDERUI.
  • SPYBOTSD.
  • SPYXX.
  • SS3EDIT.
  • STOPSIGNAV.
  • SWAGENT.
  • SWDOCTOR.
  • SWNETSUP.
  • SYMLCSVC.
  • SYMPROXYSVC.
  • SYMSPORT.
  • SYMWSC.
  • SYNMGR.
  • TAUMON.
  • TBMON.
  • TMLISTEN.
  • TMNTSRV.
  • TMPROXY.
  • TNBUTIL.
  • TRJSCAN.
  • VBA32ECM.
  • VBA32IFS.
  • VBA32LDR.
  • VBA32PP3.
  • VBSNTW.
  • VCRMON.
  • VPTRAY.
  • VRFWSVC.
  • VRMONNT.
  • VRMONSVC.
  • VRRW32.
  • VSECOMR.
  • VSHWIN32.
  • VSMON.
  • VSSERV.
  • VSSTAT.
  • WATCHDOG.
  • WEBSCANX.
  • WINSSNOTIFY.
  • WRCTRL.
  • XCOMMSVR.
  • ZLCLIENT.
  • ZONEALARM.
  • HSOCKPE.
  • HUPDATE.
  • IAMAPP.
  • IAMSERV.
  • ICLOAD95.
  • ICLOADNT.
  • ICMON.
  • ICSSUPPNT.
  • ICSUPP95.
  • ICSUPPNT.
  • IPTRAY.
  • INETUPD.
  • INOCIT.
  • INORPC.
  • INORT.
  • INOTASK.
  • INOUPTNG.
  • IOMON98.
  • ISAFE.
  • ISATRAY.
  • KAV.
  • KAVMM.
  • KAVPF.
  • KAVPFW.
  • KAVSTART.
  • KAVSVC.
  • KAVSVCUI.
  • KMAILMON.
  • MAMUTU.
  • MCAGENT.
  • MCMNHDLR.
  • MCREGWIZ.
  • MCUPDATE.
  • MCVSSHLD.
  • MINILOG.
  • MYAGTSVC.
  • MYAGTTRY.
  • NAVAPSVC.
  • NAVAPW32.
  • NAVLU32.
  • NAVW32.
  • NEOWATCHLOG.
  • NEOWATCHTRAY.
  • NISSERV.
  • NISUM.
  • NMAIN.
  • NOD32.
  • NORMIST.
  • NOTSTART.
  • NPAVTRAY.
  • NPFMNTOR.
  • NPFMSG.
  • AVPM.
  • A2GUARD.
  • A2CMD.
  • A2SERVICE.
  • A2FREE.
  • AVAST.
  • AVGEMC.
  • AVGFWSRV.
  • AVGNT.

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

  • http://{BLOCKED}wel.fm.{BLOCKED}a.pl/logos.gif
  • http://{BLOCKED}tara.com/logof.gif
  • http://{BLOCKED}lie.com/images/logos.gif
  • http://{BLOCKED}nt-eg.com/images/logosa.gif
  • http://www.{BLOCKED}ogullari.com/logof.gif
  • http://www.{BLOCKED}becreatives.com/logos.gif
  • http://{BLOCKED}metgrup.com/images/logosa.gif
  • http://{BLOCKED}uncil.ya.{BLOCKED}c.de/images/logos.gif
  • http://{BLOCKED}asa.com/images/logos.gif
  • http://{BLOCKED}.{BLOCKED}.19.14/logo.gif
  • http://www.{BLOCKED}y.com.mx/images/xs.jpg
  • http://{BLOCKED}o.ir/pictures/xs.jpg
  • http://{BLOCKED}yekta.com/logos.gif
  • http://{BLOCKED}porizona.com.br/s.jpg
  • http://www.{BLOCKED}stcreation.com/images/xs.jpg
  • http://www.{BLOCKED}reklam.com/logof.gif
  • http://{BLOCKED}btakeran.com/images/xs.jpg
  • http://{BLOCKED}vhumbetraders.co.za/pics/logos.gif
  • http://www.{BLOCKED}nparto.com/images/xs.jpg
  • http://{BLOCKED}asanchez.com/s.jpg
  • http://{BLOCKED}resi.net/logof.gif
  • http://{BLOCKED}ndation.org/images/xs.jpg
  • http://{BLOCKED}rma.net/imagens/logof.gif

  Soluciones

Motor de exploraci¨®n m¨ªnimo 9.300
Primer archivo de patrones de VSAPI 7.444.02
Primera fecha de publicaci¨®n de patrones de VSAPI 07 de septiembre de 2010
Versi¨®n de patrones OPR de VSAPI 7.445.00
Fecha de publicaci¨®n de patrones OPR de VSAPI 08 de septiembre de 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante PE_SALITY.RL-O

    • PE_SALITY.RL

Step 3

Reiniciar en modo seguro

[ aprenda m¨¢s ]

Step 4

Eliminar este valor del Registro

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32
    • Type = "1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32
    • Start = "3"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32
    • ErrorControl = "1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32
    • DisplayName = "amsint32"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32
    • ImagePath = "\??\%Windows%\drivers\{random file name}.sys"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32\Enum
    • 0 = "Root\LEGACY_AMSINT32\0000"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32\Enum
    • Count = "1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\amsint32\Enum
    • NextInstance = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • AntiVirusDisableNotify = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • FirewallDisableNotify = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • FirewallOverride = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • UpdatesDisableNotify = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • UacDisableNotify = "1"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • UacDisableNotify = "1"
  • In HKEY_CURRENT_USER\Software\Afukx
    • w{number}_{number} = "{hex value}"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
    • AntiVirusOverride = "1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • {malware path}\{malware file name} = "{malware path}\{malware file name}:*:Enabled:ipsec"

Step 5

Restaurar este valor del Registro modificado

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • From: EnableFirewall = "0"
      To: EnableFirewall = "1"
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • From: DisableNotifications = "1"
      To: DisableNotifications = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • From: AntiVirusDisableNotify = "1"
      To: AntiVirusDisableNotify = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • From: FirewallDisableNotify = "1"
      To: FirewallDisableNotify = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • From: UpdatesDisableNotify = "1"
      To: UpdatesDisableNotify = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • From: AntiVirusOverride = "1"
      To: AntiVirusOverride = "0"
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • From: FirewallOverride = "1"
      To: FirewallOverride = "0"
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • From: Hidden = "2"
      To: Hidden = "1"

Step 6

Eliminar esta clave del Registro

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    • amsint32
  • In HKEY_CURRENT_USER\Software
    • Afukx

Step 7

Buscar y eliminar los archivos de AUTORUN.INF creados por PE_SALITY.RL-O que contienen las siguientes cadenas

[ aprenda m¨¢s ]
;{garbage characters}
[AutoRun]
;{garbage characters}
shell\explore\command = {random}.{exe/pif}
;{garbage characters}
open = {random file name}.exe
;{garbage characters}
shell\open\command = {random}.{exe/pif}
shell\open\default = 1
;{garbage characters}
shell\autoplay\command = {random}.{exe/pif}
;{garbage characters}

Step 8

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como PE_SALITY.RL-O En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Rellene nuestra encuesta!