Analizzato da: Dianne Lagrimas   

 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Potenziale dannoso: :
 Potenziale di distribuzione: :
 Reported Infection:
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Trojan

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione

Llega como archivo que exporta las funciones de otro malware/grayware/spyware. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Se registra como objeto de ayuda del explorador (BHO) para garantizar su ejecución automática cada vez que se ejecuta Internet Explorer. Crea claves/entradas de registro para llevar a cabo esta acción.

Se conecta a determinados sitios Web para enviar y recibir información. Requiere que su componente principal lleve a cabo correctamente la rutina deseada.

  Dettagli tecnici

Dimensione file: Varia
Tipo di file: PE
Residente in memoria:
Data di ricezione campioni iniziali: 13 settembre 2010
Carica distruttiva: Connects to URLs/IPs

Detalles de entrada

Llega como archivo que exporta las funciones de otro malware/grayware/spyware.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Instalación

Infiltra los archivos siguientes:

  • %System%\{random name}.dll

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %User Profile%\Application Data\{random characters}.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:

  • WINLOGON.EXE

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random string} = rundll32.exe "{malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{Malware file name without extension}
DLLName = "{Malware file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
AppInit_DLLs = "{Malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
ShellExecuteHooks
{Malware CLSID} = ""

Se registra como objeto de ayuda del explorador (BHO) para garantizar su ejecución automática cada vez que se ejecuta Internet Explorer. Crea las siguientes claves/entradas de registro para llevar a cabo esta acción:

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{Random CLSID}\InprocServer32
(Default) = "{Malware path and file name}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{Random CLSID}

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

  • http://{BLOCKED}.103.60/go//?cmp=vmtek_update&lid=run&uid={data}&guid={data}

Requiere que su componente principal lleve a cabo correctamente la rutina deseada.

  Soluzioni

Motore di scansione minimo: 9.200
Sondaggio