Author: Michelle Morales   
 

PWS:Win32/Dyzap.F (Microsoft), Infostealer.Dyranges (Symantec)

 PLATFORM:

Windows

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Spyware

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Este malware se elimina tras la ejecución.

  TECHNICAL DETAILS

File size: 385,024 bytes
File type: EXE

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %Windows%\{random filename}.exe (for Windows XP and below)
  • %AppDataLocal%\{random filenam}.exe (for Windows Vista and above)

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

)

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\ControlSet001\Services\
googleupdate
ImagePath = "%Windows%\{random filename}.exe" (for Windows XP and below)

HKEY_LOCAL_MACHINE\ControlSet001\Services\
googleupdate
DisplayName = "Google Update Service" (for Windows XP and below)

HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
(Default) = "%AppDataLocal%\{random filenam}.exe" (for Windows Vista and above)

Otros detalles

Este malware infiltra el/los siguiente(s) archivo(s)/componente(s):

  • %System%\config\systemprofile\Application Data\{random filename}.dat (for Windows XP and below)
  • %AppDataLocal%\{random filename}.dat (for Windows Vista and above)

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Este malware se elimina tras la ejecución.