JAVA_BEYOND.A
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Trojan
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.
Este malware guarda los archivos descargados en la mencionada carpeta que se ha creado.
Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos.
Detalles técnicos
Instalación
Crea las carpetas siguientes:
- %User Temp%\hsperfdata_winxp
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}
Agrega las siguientes entradas de registro:
HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell\open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell\
open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}
StubPath = "CMd /q /C start "" /I /B JAvAw.Exe -classpath "%User Temp%\jar_cache5906588338763665408.tmp" a"
Rutina de descarga
Guarda los archivos que descarga con los nombres siguientes:
- %User Temp%\hsperfdata_winxp\{random letters}.{random extension names}
- %User Temp%\hsperfdata_winxp\{random filename}.exe
- %User Temp%\hsperfdata_winxp\{random numbers}
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)Este malware guarda los archivos descargados en la mencionada carpeta que se ha creado.
Otros detalles
Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos. En el momento de escribir esta información, este archivo contiene las siguientes direcciones URL:
- youporn.com
- go.com
- orkut.com
- hotfile.com
- rapidshare.com
- nytimes.com