TROJ_ZLOB
DNSChanger
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Infiltra los archivos siguientes:
- %System%\spool\prtprocs\w32x86\{random}.dll
- %System%\ernel32.dll
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Crea las siguientes copias de sí mismo en el sistema afectado:
- %System%\spool\PRTPROCS\W32X86\000029cc.tmp
- %User Temp%\{random}
- %System%\{random}.exe
- %Application Data%\{random}.exe
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).)Técnica de inicio automático
Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_MSWU-B04BA347
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_MSWU-B04BA347\
0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSWU-b04ba347
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = "1"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%System%\spoolsv.exe = "%System%\spoolsv.exe:*:Enabled:spoolsv.exe"
Modifica las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
NameServer = "{BLOCKED}.{BLOCKED}.162.160,{BLOCKED}.{BLOCKED}.166.191"
(Note: The default value data of the said registry entry is {user-defined}.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
DhcpNameServer = "{BLOCKED}.{BLOCKED}.162.160,{BLOCKED}.{BLOCKED}.166.191"
(Note: The default value data of the said registry entry is {user-defined}.)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{CLSID}
DhcpNameServer = "{BLOCKED}.{BLOCKED}.162.160.{BLOCKED}.{BLOCKED}.166.191"
(Note: The default value data of the said registry entry is {user-defined}.)