Author: Roland Marco Dela Paz   
 

Symantec : W32.Ackantta.B@mm; Sophos : W32/AutoRun-BHX

 PLATFORM:

Windows 2000, XP, Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
    Yes

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Se propaga v¨ªa unidades extra¨ªbles

Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado. Ele usa ¨ªcones semelhantes aos dos aplicativos v¨¢lidos para motivar o usu¨¢rio a clicar neles.

Adem¨¢s, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

A continuaci¨®n ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.

  TECHNICAL DETAILS

File size: 882,176 bytes
File type: PE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 26 listopada 2010

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Crea las siguientes copias de s¨ª mismo en el sistema afectado:

  • %System%\jushed.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Infiltra los archivos siguientes:

  • %System%\javaup.exe - detected as TROJ_INJECT.JKSA
  • %System%\javaup2.exe - detected as TROJ_HILOTI.SMEO

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Sun Java Update Scheudler = %System%\jushed.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\Jakarta

HKEY_LOCAL_MACHINE\SOFTWARE\Jakarta

Este malware tambi¨¦n crea la(s) siguiente(s) entrada(s) de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
fck_java = 11

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
fck_oracle = 29

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\jushed.exe = %System%\jushed.exe:*:Enabled:Explorer

±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô

Crea las carpetas siguientes en todas las unidades extra¨ªbles:

  • [DRIVE]:\RECYCLER\{SID}

Este malware infiltra la(s) siguiente(s) copia(s) de s¨ª mismo en todas las unidades extra¨ªbles:

  • [DRIVE]:\RECYCLER\{SID}\redmond.exe

Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.

Ele usa ¨ªcones semelhantes aos dos aplicativos v¨¢lidos para motivar o usu¨¢rio a clicar neles.

Capacidades de rootkit

Adem¨¢s, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.

Rutina de infiltraci¨®n

A continuaci¨®n ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.

  SOLUTION

Minimum scan engine: 8.900
VSAPI Pattern-Datei: still under processing by pattern team

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante WORM_PROLACO.QZZ

    • TROJ_INJECT.JKSA
    • TROJ_HILOTI.SMEO

Step 3

Reiniciar en modo seguro

[ learnMore ]

Step 4

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

?
  • In HKEY_CURRENT_USER\Software\
    • Jakarta
  • In HKEY_LOCAL_MACHINE\SOFTWARE\
    • Jakarta

Step 5

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    • fck_java = 11
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    • fck_oracle = 29
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %System%\jushed.exe = %System%\jushed.exe:*:Enabled:Explorer
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • Sun Java Update Scheudler = %System%\jushed.exe

Step 6

Buscar y eliminar los archivos de AUTORUN.INF creados por WORM_PROLACO.QZZ que contienen las siguientes cadenas

[ learnMore ]
[autorun]
open=RECYCLER\{SID}\redmond.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1

Step 7

Buscar y eliminar esta carpeta

[ learnMore ]
Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas. [DRIVE:]\RECYCLER\{SID}

Step 8

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como WORM_PROLACO.QZZ En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.

Step 9

Buscar y eliminar estas carpetas

[ learnMore ]
Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas. DATA_GENERIC
  • En la lista desplegable Buscar en, seleccione Mi PC y pulse Intro.
  • Una vez haya encontrado la carpeta, selecci¨®nela y, a continuaci¨®n, pulse MAY?S+SUPR para eliminarla definitivamente.
  • Repita los pasos 2 a 4 con el resto de carpetas:
      DATA_GENERIC


    • Did this description help? Tell us how we did.