CHM_DROPPER.VTG
Exploit-CodeBase.chm (McAfee); TR/Dropper.Gen (AntiVir)
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Trojan
Destructivo?
No
Cifrado
No
In the Wild:
Sí
Resumen y descripción
Se conecta a determinadas URL. Uno de los objetivos para ello puede ser informar remotamente de su instalación a un usuario malicioso. También puede hacerlo para descargar archivos maliciosos en el equipo, lo que aumentaría su riesgo de infección por parte de otras amenazas. No obstante, de este modo no se podrá acceder a los sitios mencionados.
Detalles técnicos
Instalación
Infiltra los archivos siguientes:
- %Windows%\Downloaded Program Files\comctr.inf
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Infiltra y ejecuta los archivos siguientes:
- %System%\comctr.dll
- %System%\oci.dll
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Otras modificaciones del sistema
Modifica las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSDTC
Start = 2
(Note: The default value data of the said registry entry is 3.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSDTC
ObjectName = LocalSystem
(Note: The default value data of the said registry entry is NT AUTHORITY\NetworkService.)
Rutina de descarga
Se conecta a las siguientes URL maliciosas:
- http://jpgame.{BLOCKED}et.org
No obstante, de este modo no se podrá acceder a los sitios mencionados.