TSPY_FAREIT.MOP
a variant of Win32/Kryptik.AWSR trojan (Nod32), Gen:Variant.Kazy.154230 (BitDefender), W32/Trojan3.EXV (exact) (Fprot), W32/Kryptik.KZ!tr (Fortinet)
Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)
Tipo de malware
Spyware
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Se ejecuta y, a continuación, se elimina.
Detalles técnicos
Instalación
Se ejecuta y, a continuación, se elimina.
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\WinRAR
Client Hash = "{random value}"
HKEY_CURRENT_USER\Software\WinRAR
{random GUID} = "{random value}"
HKEY_CURRENT_USER\Software\WinRAR
HWID = "{random value}"
Rutina de descarga
Accede a los siguientes sitios Web para descargar archivos:
- http://{BLOCKED}pts.com/c8H.exe
- http://{BLOCKED}een-lending.com/heyJU.exe
- http://ftp.{BLOCKED}ovingboxes.com/Q0o.exe
- http://{BLOCKED}sonjr.com/9wicxN.exe
- http://{BLOCKED}system.de/FkXZWaeS.exe
Guarda los archivos que descarga con los nombres siguientes:
- %User Temp%\{random number}.exe
(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).
)