An¨¢lisis realizado por : Roland Dela Paz   
 Alias

Sophos: W32/CpLink-I; Kaspersky: Trojan-Spy.Win32.Webmoner.atv

 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucci¨®n:
 Potencial de distribuci¨®n:
 Infecci¨®n divulgada:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Canal de infecci¨®n Se copia a s¨ª mismo en todas las unidades f¨ªsicas disponibles, Se propaga v¨ªa unidades extra¨ªbles, Se propaga v¨ªa unidades compartidas

Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.

Agrega entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema.

  Detalles t¨¦cnicos

Tama?o del archivo 26,112 bytes
Tipo de archivo PE
Residente en memoria ³§¨ª
Fecha de recepci¨®n de las muestras iniciales 02 Dec 2010
Carga ¨²til Drops files

Detalles de entrada

Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Infiltra los archivos siguientes:

  • %System Root%\Documents and Settings\All Users\Start Menu\Internet Explorer.lnk - autostart component detected as EXPL_CPLNK.SM
  • %Common Startup%\Microsoft Update.lnk - autostart component detected as EXPL_CPLNK.SM
  • %Favorites%\Microsoft Update.lnk - autostart component detected as EXPL_CPLNK.SM

(Nota: %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).

. %Common Startup% es la carpeta de inicio com¨²n del sistema, que en el caso de Windows 98 y ME suele estar en C:\Windows\Men¨² Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\All Users\Programas\Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\All Users\Men¨² Inicio\Programas\Inicio).

. %Favorites% es la carpeta Favoritos del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Favorites, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Favoritos y en Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Favoritos).

)

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Recycler = "%System Root%\RECYCLER.lnk"

±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô

Este malware infiltra las siguientes copias de s¨ª mismo en todas las unidades f¨ªsicas y extra¨ªbles:

  • mso.sys

  Soluciones

Motor de exploraci¨®n m¨ªnimo 8.900
Primer archivo de patrones de VSAPI 7.670.07
Primera fecha de publicaci¨®n de patrones de VSAPI 02 de diciembre de 2010
Versi¨®n de patrones OPR de VSAPI 7.671.00
Fecha de publicaci¨®n de patrones OPR de VSAPI 02 de diciembre de 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante WORM_WEBMONER.JC