Author: Cris Nowell Pantanilla   
 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Se propaga v¨ªa unidades extra¨ªbles

Para obtener una visi¨®n integral del comportamiento de este Worm, consulte el diagrama de amenazas que se muestra a continuaci¨®n.

Este malware infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles. Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Ejecuta determinados comandos que recibe de forma remota desde un usuario malicioso. De esta forma pone en gran peligro el equipo afectado y la informaci¨®n del mismo. Se conecta a un sitio Web para enviar y recibir informaci¨®n.

Despu¨¦s ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.

  TECHNICAL DETAILS

File size: 947,200 bytes
File type: EXE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 06 pa?dziernika 2012
PAYLOAD: Connects to URLs/IPs, Steals information, Compromises system security, Downloads files

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Crea las siguientes copias de s¨ª mismo en el sistema afectado:

  • %User Profile%\Application Data\{random}.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Este malware inyecta subprocesos en el/los siguiente(s) proceso(s) normal(es):

  • explorer.exe
  • winlogon.exe

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%User Profile%\Application Data\{random}.exe"

±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô

Este malware infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles.

Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

  • Block DNS
  • Create processes
  • Download other files
  • Insert iFrame tags into HTML files
  • Join an IRC channel
  • Log in to FTP sites
  • Perform Slowloris, UDP, and SYN flooding
  • Run Reverse Socks4 proxy server
  • Send MSN Messenger messages
  • Steal login credentials
  • Update itself
  • Visit a web site

Se conecta a los sitios Web siguientes para enviar y recibir informaci¨®n:

  • ok77548.com
  • ca98741.com
  • zuf174.com
  • 1k4j25.com

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

  • http://up.arabseyes.com/uploads/28_12_1213566658223.png

Guarda los archivos que descarga con los nombres siguientes:

  • %User Profile%\Application Data\{random number}.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

live casino online detecta el archivo descargado como:

  • WORM_DORKBOT.IF

Despu¨¦s ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.

  SOLUTION

Minimum scan engine: 9.300

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 3

Explorar el equipo con su producto de live casino online y anotar los archivos detectados como WORM_DORKBOT.DN

Step 4

Reiniciar en modo seguro

[ learnMore ]

Step 5

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

?
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {random} = "%User Profile%\Application Data\{random}.exe"

Step 6

Buscar y eliminar los archivos de AUTORUN.INF creados por WORM_DORKBOT.DN que contienen las siguientes cadenas

[ learnMore ]
[AutoRun]
;{garbage characters}
shellexecute=RECYCLER\{malware file name}.exe
;{garbage characters}
icon=shell32.dll,7
;{garbage characters}
shell\open\command=RECYCLER\{malware file name}.exe
;{garbage characters}
action=Open folder to view files
;{garbage characters}
shell\explore\command=RECYCLER\{malware file name}.exe
;{garbage characters}
useautoplay=1

Step 7

Buscar y eliminar el archivo detectado como WORM_DORKBOT.DN

[ learnMore ]

Step 8

Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como WORM_DORKBOT.DN En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Did this description help? Tell us how we did.

Verwandte Blog-Eintr?ge