Analizzato da: Jed Valderama   
 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione

Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.

Este malware guarda los archivos descargados en la mencionada carpeta que se ha creado.

Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos.

  Dettagli tecnici

Dimensione file: 77,454 bytes
Tipo di file: Java Class, JAR
Data di ricezione campioni iniziali: 07 settembre 2012

Instalación

Crea las carpetas siguientes:

  • %User Temp%\hsperfdata_winxp

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}

Agrega las siguientes entradas de registro:

HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell\open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell\
open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}
StubPath = "CMd /q /C start "" /I /B JAvAw.Exe -classpath "%User Temp%\jar_cache5906588338763665408.tmp" a"

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

  • %User Temp%\hsperfdata_winxp\{random letters}.{random extension names}
  • %User Temp%\hsperfdata_winxp\{random filename}.exe
  • %User Temp%\hsperfdata_winxp\{random numbers}

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Este malware guarda los archivos descargados en la mencionada carpeta que se ha creado.

Otros detalles

Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos. En el momento de escribir esta información, este archivo contiene las siguientes direcciones URL:

  • youporn.com
  • go.com
  • orkut.com
  • hotfile.com
  • rapidshare.com
  • nytimes.com