Analizzato da: Jasen Sumalapao   
 

Trojan:Win32/Malex.gen!E (Mirosoft), Trojan-PSW.Win32.Tepfer.apmh (Kaspersky), Trojan.Smoaler (Symantec), Mal/NecursDrp-A (Sophos), Trojan.Generic.KDV.673626 (FSecure), Trojan.Win32.Generic!SB.0 (Sunbelt), W32/Tepfer.A!tr.pws (Fortinet)

 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Reported Infection:
 Sistema di Impatto: :
 Informazioni esposizione: :
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Spyware

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione

Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.

Este malware se elimina tras la ejecución.

  Dettagli tecnici

Dimensione file: 87,584 bytes
Tipo di file: EXE
Data di ricezione campioni iniziali: 17 luglio 2012

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

  • %User Profile%\Application Data\svchost.exe
  • %User Profile%\Application Data\System32\csrss.exe
  • %User Profile%\Application Data\System32\rundll32.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Crea las carpetas siguientes:

  • %User Profile%\Application Data\System32

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Process = %User Profile%\Application Data\System32\csrss.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Host-process Windows (Rundll32.exe) = %User Profile%\Application Data\System32\csrss.exe

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Service Host Process for Windows = %User Profile%\Application Data\svchost.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Process = %User Profile%\Application Data\System32\csrss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Host-process Windows (Rundll32.exe) = %User Profile%\Application Data\System32\csrss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Service Host Process for Windows = %User Profile%\Application Data\svchost.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\BC Clients
{random 1 digit character} = {random garbage look alike characters}

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Client Server Runtime Process = %User Profile%\Application Data\System32\csrss.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Host-process Windows (Rundll32.exe) = %User Profile%\Application Data\System32\csrss.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Service Host Process for Windows = %User Profile%\Application Data\svchost.exe

Otros detalles

Este malware se elimina tras la ejecución.