An¨¢lisis realizado por : Roland Marco Dela Paz   
 Alias

W32.Flamer (Symantec); Worm.Win32.Flame.a (Kaspersky)

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucci¨®n:
 Potencial de distribuci¨®n:
 Infecci¨®n divulgada:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado
    ³§¨ª

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Canal de infecci¨®n Se propaga v¨ªa unidades extra¨ªbles

Para obtener una visi¨®n integral del comportamiento de este Worm, consulte el diagrama de amenazas que se muestra a continuaci¨®n.

Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.

  Detalles t¨¦cnicos

Tama?o del archivo ³Õ²¹°ù¨ª²¹
Tipo de archivo PE
Residente en memoria ³§¨ª
Fecha de recepci¨®n de las muestras iniciales 28 de mayo de 2012
Carga ¨²til Terminates processes, Compromises system security, Drops files

Detalles de entrada

Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Crea las siguientes copias de s¨ª mismo en el sistema afectado:

  • %System%\mssecmgr.ocx

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Infiltra los archivos siguientes:

  • %System%\boot32drv.sys - detected as TROJ_FLAMER.CFG
  • %System%\ccalc32.sys - detected as TROJ_FLAMER.CFG
  • %System%\advnetcfg.ocx - also detected as WORM_FLAMER.A
  • %System%\msglu32.ocx - also detected as WORM_FLAMER.A
  • %System%\nteps32.ocx - also detected as WORM_FLAMER.A
  • %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat
  • %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat
  • %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat
  • %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\ntcache.dat
  • %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat
  • %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr\ssitable
  • %Windows%\Ef_trace.log

Crea las carpetas siguientes:

  • %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

)

T¨¦cnica de inicio autom¨¢tico

Modifique las siguientes entradas de registro para garantizar su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Control\Lsa Authentication
Packages = "{default entry + mssecmgr.ocx}"

(Note: The default value data of the said registry entry is {default entry}.)

Finalizaci¨®n del proceso

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • acs.exe
  • AdoronsFirewall.exe
  • almon.exe
  • alsvc.exe
  • alupdate.exe
  • AntiHook.exe
  • app_firewall.exe
  • asr.exe
  • aupdrun.exe
  • authfw.exe
  • avgnt.exe
  • avguard.exe
  • avp.exe
  • avpm.exe
  • bdagent.exe
  • bdmcon.exe
  • bdss.exe
  • blackd.exe
  • blackice.exe
  • BootSafe.exe
  • cdas17.exe
  • cdinstx.exe
  • clamd.exe
  • cmdagent.exe
  • configmgr.exe
  • cpf.exe
  • DCSUserProt.exe
  • DF5SERV.exe
  • DF5ServerService.exe
  • DFAdmin6.exe
  • DFServEx.exe
  • dfw.exe
  • dvpapi.exe
  • EMLPROUI.exe
  • EMLPROXY.exe
  • FAMEH32.exe
  • FCH32.exe
  • Firewall 2004.exe
  • FirewallGUI.exe
  • FrzState.exe
  • frzstate2k.exe
  • fsaua.exe
  • fsav32.exe
  • Fsbwsys.exe
  • fsdfwd.exe
  • fsgk32.exe
  • fsgk32st.exe
  • fsguidll.exe
  • Fsguiexe.exe
  • FSM32.exe
  • FSMA32.exe
  • FSMB32.exe
  • fspc.exe
  • Fspex.exe
  • fsqh.exe
  • fsrt.exe
  • Fssm32.exe
  • FWService.exe
  • fwsrv.exe
  • fxsrv.exe
  • gateway.exe
  • ICMON.exe
  • ike.exe
  • ipatrol.exe
  • ipcsvc.exe
  • ipcTray.exe
  • jpf.exe
  • jpfsrv.exe
  • kav.exe
  • kavmm.exe
  • Kpf4gui.exe
  • Kpf4ss.exe
  • live help.exe
  • livesrv.exe
  • lpfw.exe
  • MPF.exe
  • mpfcm.exe
  • mpsvc.exe
  • Netguard Lite.exe
  • NetMon.exe
  • NJEEVES.exe
  • nstzerospywarelite.exe
  • nvcoas.exe
  • NVCSCHED.exe
  • Nvoy.exe
  • OEInject.exe
  • omnitray.exe
  • ONLINENT.exe
  • ONLNSVC.exe
  • op_mon.exe
  • outpost.exe
  • pcipprev.exe
  • PF6.exe
  • pfsvc.exe
  • pgaccount.exe
  • procguard.exe
  • protect.exe
  • PXAgent.exe
  • PXConsole.exe
  • R-Firewall.exe
  • RDTask.exe
  • RTT_CRC_Service.exe
  • sab_wab.exe
  • safensec.exe
  • savadminservice.exe
  • SavService.exe
  • SCANWSCS.exe
  • sched.exe
  • SfCtlCom.exe
  • smc.exe
  • snsmcon.exe
  • snsupd.exe
  • sp_rsser.exe
  • spfirewallsvc.exe
  • sppfw.exe
  • SpyHunter3.exe
  • SpywareTerminator.exe
  • SpywareTerminatorShield.exe
  • SSUpdate.exe
  • SUPERAntiSpyware.exe
  • SWNETSUP.exe
  • swupdate.exe
  • sww.exe
  • tikl.exe
  • tinykl.exe
  • TMAS_OEMon.exe
  • TMBMSRV.exe
  • TmPfw.exe
  • TmProxy.exe
  • Tray.exe
  • TSAnSrf.exe
  • TSAtiSy.exe
  • TScutyNT.exe
  • TSmpNT.exe
  • UfSeAgnt.exe
  • UmxAgent.exe
  • UmxCfg.exe
  • UmxFwHlp.exe
  • Umxlu.exe
  • UmxPol.exe
  • UmxTray.exe
  • updclient.exe
  • VCATCH.exe
  • vdtask.exe
  • VSDesktop.exe
  • vsmon.exe
  • vsserv.exe
  • WSWEEPNT.exe
  • wwasher.exe
  • xauth_service.exe
  • xcommsvr.exe
  • xfilter.exe
  • Zanda.exe
  • zerospyware le.exe
  • ZeroSpyware Lite.exe
  • zerospyware lite_installer.exe
  • zlclient.exe

  Soluciones

Motor de exploraci¨®n m¨ªnimo 9.200
Primer archivo de patrones de VSAPI 9.148.03
Primera fecha de publicaci¨®n de patrones de VSAPI 28 de mayo de 2012
Versi¨®n de patrones OPR de VSAPI 9.149.00
Fecha de publicaci¨®n de patrones OPR de VSAPI 29 de mayo de 2012

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 3

Reiniciar en modo seguro

[ aprenda m¨¢s ]

Step 4

Buscar y eliminar esta carpeta

[ aprenda m¨¢s ]
Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas.
  • %Program Files%\Common Files\Microsoft Shared\MSSecurityMgr

Step 5

Buscar y eliminar este archivo

[ aprenda m¨¢s ]
Puede que algunos de los archivos del componente est¨¦n ocultos. Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todos los archivos y carpetas ocultos.
  • %Windows%\Ef_trace.log

Step 6

Restaurar este valor del Registro modificado

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Authentication
    • From: Packages = "{default entry + mssecmgr.ocx}"
      To: Packages = "{default entry}"

Step 7

Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como WORM_FLAMER.A En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Rellene nuestra encuesta!

Relacionado entradas de blog

Sobre el malware