Analizzato da: Roland Dela Paz   
 

Sophos: W32/CpLink-I; Kaspersky: Trojan-Spy.Win32.Webmoner.atv

 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Worm

  • Distruttivo?:
    No

  • Crittografato?:
    No

  • In the wild::
    ³§¨¬

  Panoramica e descrizione

Canale infezione: Se copia a s¨ª mismo en todas las unidades f¨ªsicas disponibles, Se propaga v¨ªa unidades extra¨ªbles, Se propaga v¨ªa unidades compartidas

Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.

Agrega entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema.

  Dettagli tecnici

Dimensione file: 26,112 bytes
Tipo di file: PE
Residente in memoria: ³§¨¬
Data di ricezione campioni iniziali: 02 dicembre 2010
Carica distruttiva: Drops files

Detalles de entrada

Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Infiltra los archivos siguientes:

  • %System Root%\Documents and Settings\All Users\Start Menu\Internet Explorer.lnk - autostart component detected as EXPL_CPLNK.SM
  • %Common Startup%\Microsoft Update.lnk - autostart component detected as EXPL_CPLNK.SM
  • %Favorites%\Microsoft Update.lnk - autostart component detected as EXPL_CPLNK.SM

(Nota: %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).

. %Common Startup% es la carpeta de inicio com¨²n del sistema, que en el caso de Windows 98 y ME suele estar en C:\Windows\Men¨² Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\All Users\Programas\Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\All Users\Men¨² Inicio\Programas\Inicio).

. %Favorites% es la carpeta Favoritos del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Favorites, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Favoritos y en Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Favoritos).

)

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Recycler = "%System Root%\RECYCLER.lnk"

±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô

Este malware infiltra las siguientes copias de s¨ª mismo en todas las unidades f¨ªsicas y extra¨ªbles:

  • mso.sys

  Soluzioni

Motore di scansione minimo: 8.900
Primo file di pattern VSAPI: 7.670.07
Data di pubblicazione del primo pattern VSAPI: 02 dicembre 2010
Versione pattern VSAPI OPR: 7.671.00
Data di pubblicazione del pattern VSAPI OPR: 02 dicembre 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante WORM_WEBMONER.JC