Análisis realizado por : Jed Valderama   
 Plataforma:

Windows 2000, Windows XP, Windows Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.

Este malware guarda los archivos descargados en la mencionada carpeta que se ha creado.

Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos.

  Detalles técnicos

Tamaño del archivo 77,454 bytes
Tipo de archivo Java Class, JAR
Fecha de recepción de las muestras iniciales 07 Sep 2012

Instalación

Crea las carpetas siguientes:

  • %User Temp%\hsperfdata_winxp

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}

Agrega las siguientes entradas de registro:

HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell\open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell\
open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}
StubPath = "CMd /q /C start "" /I /B JAvAw.Exe -classpath "%User Temp%\jar_cache5906588338763665408.tmp" a"

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

  • %User Temp%\hsperfdata_winxp\{random letters}.{random extension names}
  • %User Temp%\hsperfdata_winxp\{random filename}.exe
  • %User Temp%\hsperfdata_winxp\{random numbers}

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Este malware guarda los archivos descargados en la mencionada carpeta que se ha creado.

Otros detalles

Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos. En el momento de escribir esta información, este archivo contiene las siguientes direcciones URL:

  • youporn.com
  • go.com
  • orkut.com
  • hotfile.com
  • rapidshare.com
  • nytimes.com