TROJ_VUNDO
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Llega como archivo que exporta las funciones de otro malware/grayware/spyware. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Se registra como objeto de ayuda del explorador (BHO) para garantizar su ejecución automática cada vez que se ejecuta Internet Explorer. Crea claves/entradas de registro para llevar a cabo esta acción.
Se conecta a determinados sitios Web para enviar y recibir información. Requiere que su componente principal lleve a cabo correctamente la rutina deseada.
TECHNICAL DETAILS
Detalles de entrada
Llega como archivo que exporta las funciones de otro malware/grayware/spyware.
Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.
Instalación
Infiltra los archivos siguientes:
- %System%\{random name}.dll
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Crea las siguientes copias de sí mismo en el sistema afectado:
- %User Profile%\Application Data\{random characters}.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:
- WINLOGON.EXE
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{random string} = rundll32.exe "{malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon\
Notify\{Malware file name without extension}
DLLName = "{Malware file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
AppInit_DLLs = "{Malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
ShellExecuteHooks
{Malware CLSID} = ""
Se registra como objeto de ayuda del explorador (BHO) para garantizar su ejecución automática cada vez que se ejecuta Internet Explorer. Crea las siguientes claves/entradas de registro para llevar a cabo esta acción:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
CLSID\{Random CLSID}\InprocServer32
(Default) = "{Malware path and file name}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Explorer\
Browser Helper Objects\{Random CLSID}
Otros detalles
Se conecta al sitio Web siguiente para enviar y recibir información:
- http://{BLOCKED}.103.60/go//?cmp=vmtek_update&lid=run&uid={data}&guid={data}
Requiere que su componente principal lleve a cabo correctamente la rutina deseada.