Author: Roland Dela Paz   
 

Sophos: W32/CpLink-I; Kaspersky: Trojan-Spy.Win32.Webmoner.atv

 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Worm

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Se copia a s¨ª mismo en todas las unidades f¨ªsicas disponibles, Se propaga v¨ªa unidades extra¨ªbles, Se propaga v¨ªa unidades compartidas

Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.

Agrega entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema.

  TECHNICAL DETAILS

File size: 26,112 bytes
File type: PE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 02 grudnia 2010
PAYLOAD: Drops files

Detalles de entrada

Llega tras conectar las unidades extra¨ªbles afectadas a un sistema.

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Infiltra los archivos siguientes:

  • %System Root%\Documents and Settings\All Users\Start Menu\Internet Explorer.lnk - autostart component detected as EXPL_CPLNK.SM
  • %Common Startup%\Microsoft Update.lnk - autostart component detected as EXPL_CPLNK.SM
  • %Favorites%\Microsoft Update.lnk - autostart component detected as EXPL_CPLNK.SM

(Nota: %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).

. %Common Startup% es la carpeta de inicio com¨²n del sistema, que en el caso de Windows 98 y ME suele estar en C:\Windows\Men¨² Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\All Users\Programas\Inicio y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\All Users\Men¨² Inicio\Programas\Inicio).

. %Favorites% es la carpeta Favoritos del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Favorites, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Favoritos y en Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Favoritos).

)

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Recycler = "%System Root%\RECYCLER.lnk"

±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô

Este malware infiltra las siguientes copias de s¨ª mismo en todas las unidades f¨ªsicas y extra¨ªbles:

  • mso.sys

  SOLUTION

Minimum scan engine: 8.900
First VSAPI Pattern File: 7.670.07
First VSAPI Pattern Release Date: 02 grudnia 2010
VSAPI OPR PATTERN-VERSION: 7.671.00
VSAPI OPR PATTERN DATE: 02 grudnia 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Elimine los archivos de malware que se han introducido/descargado mediante WORM_WEBMONER.JC