Author: Jed Valderama   
 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.

Este malware guarda los archivos descargados en la mencionada carpeta que se ha creado.

Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos.

  TECHNICAL DETAILS

File size: 77,454 bytes
File type: Java Class, JAR
INITIAL SAMPLES RECEIVED DATE: 07 de września de 2012

Instalación

Crea las carpetas siguientes:

  • %User Temp%\hsperfdata_winxp

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}

Agrega las siguientes entradas de registro:

HKEY_CLASSES_ROOT\Applications\javaw.exe\
shell\open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
Applications\javaw.exe\shell\
open\command
Default = ""C:\Program Files\Java\jre6\bin\javaw.exe" -jar "%1" %*"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\{F4C1E312-9D6A-7ED3-E25E-E8C403C69C4C}
StubPath = "CMd /q /C start "" /I /B JAvAw.Exe -classpath "%User Temp%\jar_cache5906588338763665408.tmp" a"

Rutina de descarga

Guarda los archivos que descarga con los nombres siguientes:

  • %User Temp%\hsperfdata_winxp\{random letters}.{random extension names}
  • %User Temp%\hsperfdata_winxp\{random filename}.exe
  • %User Temp%\hsperfdata_winxp\{random numbers}

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Este malware guarda los archivos descargados en la mencionada carpeta que se ha creado.

Otros detalles

Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos. En el momento de escribir esta información, este archivo contiene las siguientes direcciones URL:

  • youporn.com
  • go.com
  • orkut.com
  • hotfile.com
  • rapidshare.com
  • nytimes.com