BKDR_OBFUSCA.DCB

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir información.

A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.

Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual. Este malware se elimina tras la ejecución.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %User Startup%\Trend_Updater.exe

(Nota: %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

Infiltra los archivos siguientes:

• %User Temp%\svchost.exe - also detected as BKDR_OBFUSCA.DCB
• %User Temp%\ctfmon.exe - also detected as BKDR_OBFUSCA.DCB

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Este malware infiltra los siguientes archivos no maliciosos:

• %User Temp%\autoexec.bat
• {malware path}\デスクトップ\特典お客様控え\ｅチケットお客様控.doc

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Crea las carpetas siguientes:

• {malware path}\デスクトップ\特典お客様控え

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\MIcrosoft\
Windows\CurrentVersion\Run
Trend Updater = "{malware path and file name}"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Delete the file %System Root%\ntldr
• Execute command shell
• Get system and network information by performing the following commands via command-line:
  
  • arp -a
  • dir ""%Program Files""
  • dir ""%SystemDrive%\"" /s /a
  • ipconfig/all
  • net start
  • net use
  • net user
  • net view
  • net view /domain
  • netstat -ano
  • route print
  • set
  • systeminfo
  • tasklist /m
• Get cookies for the following URLs:
  
  • http://gmail.com
  • http://hotmail.co.jp
  • http://hotmail.com
  • http://jcom.home.ne.jp
  • http://mail.yahoo.co.jp
  • http://nifty.com
• Log keystrokes
• Shut down affected system
• Terminate processes

Se conecta a los sitios Web siguientes para enviar y recibir información:

• registrations.{BLOCKED}er.org

Rutina de infiltración

Este malware infiltra el/los siguiente(s) archivo(s), que utiliza para su rutina de captura de teclado:

• %User Temp%\desktop.tmp

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

A continuación ejecuta el/los archivo(s) infiltrado(s). Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos infiltrados.

Otros detalles

Se finaliza a sí misma si detecta que está siendo ejecutada en un entorno virtual.

Este malware se elimina tras la ejecución.