WORM_DORKBOT.AR
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Worm
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Se inyecta en todos los procesos en ejecuci¨®n para permanecer en memoria.
Infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles conectadas a un sistema afectado. Este malware infiltra copias de s¨ª mismo en las unidades extra¨ªbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo. Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.
Adem¨¢s, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.
TECHNICAL DETAILS
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %Application Data%\{random characters}.exe
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Se inyecta en todos los procesos en ejecuci¨®n para permanecer en memoria.
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "{malware path and file name}"
±Ê°ù´Ç±è²¹²µ²¹³¦¾±¨®²Ô
Crea las carpetas siguientes en todas las unidades extra¨ªbles:
- {drive letter}:\RECYCLER
Infiltra copias de s¨ª mismo en todas las unidades extra¨ªbles conectadas a un sistema afectado.
Este malware infiltra la(s) siguiente(s) copia(s) de s¨ª mismo en todas las unidades extra¨ªbles:
- {drive letter}:\RECYCLER\{random characters}.exe
Este malware infiltra copias de s¨ª mismo en las unidades extra¨ªbles. Estas copias infiltradas utilizan los nombres de las carpetas ubicadas en las mencionadas unidades para sus nombres de archivo.
Infiltra un archivo AUTORUN.INF para que ejecute autom¨¢ticamente las copias que infiltra cuando un usuario accede a las unidades de un sistema afectado.
Env¨ªa mensajes que contienen enlaces a sitios con copias remotas de s¨ª mismo mediante las siguientes aplicaciones de mensajer¨ªa instant¨¢nea:
- MSN Messenger
- Pidgin
- Xchat
- MIRC
- Skype
Rutina de puerta trasera
Ejecuta los comandos siguientes desde un usuario remoto malicioso:
- Update itself
- Download other files
- Perfrom Slowloris, UDP, and SYN flooding
- Send MSN Messenger messages
- Insert iframe tags into HTML files
- Visit a Web page
- Create processes
- Block DNS
- Redirect domains
- Steal login credentials
- Log in to FTP sites
Capacidades de rootkit
Adem¨¢s, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Explorar el equipo con su producto de live casino online y anotar los archivos detectados como WORM_DORKBOT.AR
Step 3
Reiniciar en modo seguro
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {malware file name} = "{malware path and file name}"
- {malware file name} = "{malware path and file name}"
Step 5
Buscar y eliminar los archivos de AUTORUN.INF creados por WORM_DORKBOT.AR que contienen las siguientes cadenas
[AutoRun]
;{garbage characters}
shellexecute=RECYCLER\{malware file name}.exe
;{garbage characters}
icon=shell32.dll,7
;{garbage characters}
shell\open\command=RECYCLER\{malware file name}.exe
;{garbage characters}
action=Open folder to view files
;{garbage characters}
shell\explore\command=RECYCLER\{malware file name}.exe
;{garbage characters}
useautoplay=1
Step 6
Buscar y eliminar este archivo
- {drive letter}:\{folder name}.lnk
Step 7
Buscar y eliminar esta carpeta
- {drive letter}:\RECYCLER
Step 8
Reinicie en modo normal y explore el equipo con su producto de live casino online para buscar los archivos identificados como WORM_DORKBOT.AR En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Did this description help? Tell us how we did.