An¨¢lisis realizado por : Karl Dominguez   
 Alias

NORTON: Trojan.Bredolab; KASPERSKY: Trojan.Win32.Buzus.gdef; SUNBELT: Trojan.Win32.Meredrop

 Plataforma:

Windows 2000, XP, Server 2003

 Riesgo general:
 Potencial de destrucci¨®n:
 Potencial de distribuci¨®n:
 Infecci¨®n divulgada:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado
    ³§¨ª

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Agrega entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema.

Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Adem¨¢s, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.

  Detalles t¨¦cnicos

Tama?o del archivo 640,512 bytes
Tipo de archivo EXE
Residente en memoria ³§¨ª
Fecha de recepci¨®n de las muestras iniciales 22 Nov 2010

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Infiltra y ejecuta los archivos siguientes:

  • %System%\sta-css.exe - TROJ_HILOTI.SMEO
  • %System%\sta-cpe.exe - TROJ_FAKEAV.EKA

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las siguientes copias de s¨ª mismo en el sistema afectado:

  • %System%\PCSuite.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

  • PCSuite.exe{random characters}

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Nokia Launch Application = %System%\PCSuite.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\Nokia4

HKEY_LOCAL_MACHINE\Software\Nokia4

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
nok01 = {month of execution}

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
nok02 = {day of execution}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UACDisableNotify = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\PCSuite.exe = %System%\PCSuite.exe:*:Enabled:Explorer

±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô

Crea las carpetas siguientes en todas las unidades extra¨ªbles:

  • [dirve letter]:\RECYCLER
  • [dirve letter]:\RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542

Infiltra una copia de s¨ª mismo en las carpetas siguientes que usan las redes de igual a igual (P2P):

  • %User Profile%My Documents\Frostwire\shared
  • %Program Files%\icq\shared folder\
  • %Program Files%\grokster\my grokster\
  • %Program Files%\emule\incoming\
  • %Program Files%\morpheus\my shared folder\
  • %Program Files%\limewire\shared\
  • %Program Files%\tesla\files\
  • %Program Files%\winmx\shared\
  • %System Root%\Downloads\
  • Kazaa Download Directory
  • DC++ Download Directory

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

. %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

. %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).

)

Este malware infiltra la(s) siguiente(s) copia(s) de s¨ª mismo en todas las unidades extra¨ªbles:

  • [dirve letter]:\RECYCLER\S-1-6-21-2434476521-1645641927-702000330-1542\redmond.exe

Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Recopila las direcciones de correo de destino desde los archivos con las siguientes extensiones:

  • ¡¤³Ù³æ³Ù
  • ¡¤³ó³Ù³¾
  • ¡¤³æ³¾±ô
  • ¡¤±è³ó±è
  • ¡¤²¹²õ±è
  • ¡¤»å²ú³æ
  • ¡¤±ô´Ç²µ
  • ¡¤²Ô´Ú´Ç
  • ¡¤±ô²õ³Ù
  • ¡¤·É±è»å
  • ¡¤·É±è²õ
  • ¡¤³æ±ô²õ
  • ¡¤»å´Ç³¦
  • ¡¤·É²¹²ú
  • ¡¤°ù³Ù´Ú

Evita enviar mensajes de correo electr¨®nico a direcciones que contienen las cadenas siguientes:

  • berkeley
  • unix
  • bsd
  • mit.e
  • gnu
  • fsf.
  • ibm.com
  • debian
  • kernel
  • linux
  • fido
  • usenet
  • iana
  • ietf
  • rfc-ed
  • sendmail
  • arin.
  • sun.com
  • isc.o
  • secur
  • acketst
  • pgp
  • apache
  • gimp
  • tanford.e
  • utgers.ed
  • mozilla
  • firefox
  • suse
  • redhat
  • sourceforge
  • slashdot
  • samba
  • cisco
  • syman
  • panda
  • avira
  • f-secure
  • sopho
  • www.ca.com
  • ahnlab
  • novirusthanks
  • prevx
  • drweb
  • bitdefender
  • clamav
  • eset.com
  • ikarus
  • mcafee
  • kaspersky
  • virusbuster
  • badware
  • immunityinc.com
  • avg.comsysinternals
  • borlan
  • inpris
  • lavasoft
  • jgsoft
  • ghisler.com
  • wireshark
  • winpcap
  • acdnet.com
  • acdsystems.com
  • acd-group
  • bpsoft.com
  • buyrar.com
  • bluewin.ch
  • quebecor.com
  • alcatel-lucent.com
  • ssh.com
  • winamp
  • nullsoft.org
  • example
  • mydomai
  • nodomai
  • ruslis
  • virus
  • .gov
  • gov.
  • .mil
  • messagelabs
  • honeynet
  • honeypot
  • security
  • idefense
  • qualys
  • root
  • info
  • samples
  • postmaster
  • webmaster
  • noone
  • nobody
  • nothing
  • anyone
  • someone
  • your
  • you
  • me
  • bugs
  • rating
  • site
  • contact
  • soft
  • no
  • somebody
  • privacy
  • service
  • help
  • not
  • submit
  • sales
  • ca
  • gold-certs
  • the.bat
  • page
  • admin
  • icrosoft
  • support
  • ntivi
  • unix
  • bsd
  • linux
  • listserv
  • websense
  • certific
  • security
  • spam
  • sp
  • spam
  • www
  • secur
  • abuse

Capacidades de rootkit

Adem¨¢s, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

Finalizaci¨®n del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

  • aswupdsv
  • avast! Antivirus
  • avast! Mail Scanner
  • avast! Web Scanner
  • avg8wd
  • avg8emc
  • antivirservice
  • AntiVirSchedulerService
  • XCOMM
  • LIVESRV
  • bdss
  • scan
  • VSSERV
  • Arrakis3
  • CaCCProvSP
  • CSIScanner
  • Emproxy
  • McAfee HackerWatch Service
  • MCNASVC
  • MPFSERVICE
  • MPS9
  • mcpromg
  • mcproxy
  • mcshield
  • mcredirector
  • mcODS
  • mcmscsvc
  • msk80service
  • mcsysmon
  • mcmisupdmgr
  • Ehttpsrv
  • ekrn
  • sdauxservice
  • sdcodeservice
  • ThreatFire
  • sbamsvc
  • FPAVServer
  • RSCCenter
  • RSRavMon
  • K7EmlPxy
  • K7RTScan
  • K7TSMngr
  • navapsvc
  • npfmntor
  • nscservice
  • liveupdate
  • Norton AntiVirus
  • LiveUpdate Notice Service
  • SAVScan
  • Symantec Core
  • ccEvtMgr
  • sndsrvc
  • ccprox
  • ccpwdsvc
  • ccsetmgr
  • spbbcsvc
  • MBAMService
  • Savservice
  • Savadminservice
  • Sophos Autoupdate Service
  • Sophos Agent
  • Sophos Certification Manager
  • Sophos Management Service
  • Sophos Message Router
  • PAVSVR
  • PAVFNSVR
  • GWMSRV
  • PSHOST
  • PSIMSVC
  • PAVPRSRV
  • PSKSVCRETAIL
  • PANDA SOFTWARE CONTROLLER
  • TPSRV
  • WinDefend
  • wscsvc
  • ERSvc
  • WerSvc
  • AVP

Finaliza los procesos siguientes si detecta que se ejecutan en la memoria del sistema afectado:

  • mcvsshld.exe
  • McProxy.exe
  • mps.exe
  • mcmscsvc.exe
  • mcpromgr.exe
  • McNASvc.exe
  • mcagent.exe
  • Mcshield.exe
  • HWAPI.exe
  • RedirSvc.exe
  • emproxy.exe
  • mcsysmon.exe
  • mcods.exe
  • MpfSrv.exe
  • msksrver.exe
  • mskagent.exe
  • ccsvchst.exe
  • PShost.exe
  • TPSRV.exe
  • avciman.exe
  • APvxdwin.exe
  • Pavbckpt.exe
  • iface.exe
  • PSCtrlS.exe
  • PavFnSvr.exe
  • prevx.exe
  • PavPrSrv.exe
  • PsIMSVC.exe
  • psksvc.exe
  • PAVSRV51.exe
  • AVENGINE.exe
  • Webproxy.exe
  • SrvLoad.exe
  • avgnt.exe
  • guardgui.exe
  • avcenter.exe
  • avguard.exe
  • avgwdsvc.exe
  • avgrsx.exe
  • avgtray.exe
  • avgemc.exe
  • avgcsrvx.exe
  • avgui.exe
  • xcommsvr.exe
  • seccenter.exe
  • bdss.exe
  • bdagent.exe
  • livesrv.exe
  • ekrn.exe
  • egui.exe
  • sbamtray.exe
  • sbamui.exe
  • K7TSMngr.exe
  • K7RTScan.exe
  • K7EmlPxy.exe
  • K7SysTry.exe
  • K7TSecurity.exe
  • drweb32w.exe
  • drwebupw.exe
  • spidergui.exe
  • avp.exe
  • avp.exe
  • mbam.exe
  • pccnt.exe
  • NTRtScan.exe
  • TmListen.exe
  • FPWin.exe
  • FprotTray.exe
  • FPAVServer.exe
  • SavService.exe
  • SavMain.exe
  • AlMon.exe
  • SavAdminService.exe
  • ALSvc.exe
  • SbeConsole.exe
  • Rav.exe
  • RavTask.exe
  • RavMon.exe
  • RavmonD.exe
  • RavStub.exe
  • CCenter.exe
  • isafe.exe
  • vsserv.exe
  • vetmsg.exe
  • ashdisp.exe
  • ashserv.exe

Rutina de infiltraci¨®n

Este malware define los atributos del/de los archivo(s) infiltrado(s) de la siguiente manera:

  • Hidden
  • Read-Only
  • System

Modificar el archivo HOSTS

Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:

  • eset.com
  • f-secure.com
  • sophos.com
  • virustotal.com
  • hispasec.com
  • mcafee.com
  • mast.mcafee.com
  • networkassociates.com
  • download.mcafee.com
  • dispatch.mcafee.com
  • nai.com
  • us.mcafee.com
  • symantec.com
  • securityresponse.symantec.com
  • liveupdate.symantecliveupdate.com
  • symantec.com
  • liveupdate.symantec.com
  • customer.symantec.com
  • sophos.com
  • viruslist.com
  • avp.com
  • kaspersky.com
  • kaspersky-labs.com
  • ca.com
  • my-etrust.com
  • trendmicro.com
  • free-av.com
  • authentium.com
  • avg.com
  • ewido.com
  • grisoft.com
  • global.ahnlab.com
  • avast.com
  • bitdefender.com
  • quickheal.com
  • aladdin.com
  • ikarus-software.at
  • pandasecurity.com
  • virus-buster.com

Otros detalles

No mostr¨® rutinas de puerta trasera durante la prueba.

  Soluciones

Motor de exploraci¨®n m¨ªnimo 8.900
Primer archivo de patrones de VSAPI 7.640.08
Primera fecha de publicaci¨®n de patrones de VSAPI 22 de octubre de 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante WORM_PROLACO.EK

    TROJ_FAKEAV.EKA
    TROJ_HILOTI.SMEO
    TROJ_DRPLACO.EK

Step 3

Reiniciar en modo seguro

[ aprenda m¨¢s ]

Step 4

Eliminar esta clave del Registro

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software
    • Nokia4
  • In HKEY_LOCAL_MACHINE\Software
    • Nokia4

Step 5

Eliminar este valor del Registro

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Nokia Launch Application = %System%\PCSuite.exe
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    • nok01 = {month of execution}
    • nok02 = {day of execution}
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
    • UACDisableNotify = 1
  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    • EnableLUA = 0
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %System%\PCSuite.exe = %System%\PCSuite.exe:*:Enabled:Explorer
DATA_TEXTBOX
  • Cierre el Editor del Registro.

    • Step 6

    Buscar y eliminar los archivos de AUTORUN.INF creados por WORM_PROLACO.EK que contienen las siguientes cadenas

    [ aprenda m¨¢s ]
    [autorun]
    shellexecute=wlan.exe
    action=Open folder to view files
    shell\default=Open
    shell\default\command=wlan.exe
    shell=default

    Step 7

    Buscar y eliminar esta carpeta

    [ aprenda m¨¢s ]
    Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas. [Drive Letter]:\RECYCLER

    Step 8

    Eliminar estas cadenas que el malware/grayware/spyware ha a?adido al archivo HOSTS

    [ aprenda m¨¢s ]
      eset.com
      f-secure.com
      sophos.com
      virustotal.com
      hispasec.com
      mcafee.com
      mast.mcafee.com
      networkassociates.com
      download.mcafee.com
      dispatch.mcafee.com
      nai.com
      us.mcafee.com
      symantec.com
      securityresponse.symantec.com
      liveupdate.symantecliveupdate.com
      symantec.com
      liveupdate.symantec.com
      customer.symantec.com
      sophos.com
      viruslist.com
      avp.com
      kaspersky.com
      kaspersky-labs.com
      ca.com
      my-etrust.com
      trendmicro.com
      free-av.com
      authentium.com
      avg.com
      ewido.com
      grisoft.com
      global.ahnlab.com
      avast.com
      bitdefender.com
      quickheal.com
      aladdin.com
      ikarus-software.at
      pandasecurity.com
      virus-buster.com

    Step 10

    Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como WORM_PROLACO.EK En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.

    Step 11

    Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como WORM_PROLACO.EK En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


    Rellene nuestra encuesta!