TROJ_MEDFOS.SME
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Llega como archivo que exporta las funciones de otro malware/grayware/spyware.
Modifica archivos para impedir la ejecución correcta de programas y aplicaciones.
Se conecta a determinadas URL. Uno de los objetivos para ello puede ser informar remotamente de su instalación a un usuario malicioso. También puede hacerlo para descargar archivos maliciosos en el equipo, lo que aumentaría su riesgo de infección por parte de otras amenazas.
TECHNICAL DETAILS
Detalles de entrada
Llega como archivo que exporta las funciones de otro malware/grayware/spyware.
Instalación
Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):
- %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions.sqlite
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Otras modificaciones del sistema
Modifica los archivos siguientes:
- %Application Data%\Mozilla\Firefox\Profiles\4wwmjcqo.default\extensions.ini
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Mozilla\
Firefox\Extensions
{9D7673B2-B93D-11E1-8270-B8AC6F996F26} = "%Application Data%\{9D7673B2-B93D-11E1-8270-B8AC6F996F26}\"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion
a = "ODUuMTcuMTMyLjMzOwAA"
Rutina de descarga
Se conecta a las siguientes URL maliciosas:
- http://{BLOCKED}dfile.com/file/id=AwAyAAEAXXYJAAEFAJAAAAAAAAAAIwwGEAsAAACyc
3ad4RE9uay4cIImb5lvVVVVVVVVVVVVVVVVVVVVVQ
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAADRW&c=3