TSPY_TEPFER.DH
Trojan:Win32/Malex.gen!E (Mirosoft), Trojan-PSW.Win32.Tepfer.apmh (Kaspersky), Trojan.Smoaler (Symantec), Mal/NecursDrp-A (Sophos), Trojan.Generic.KDV.673626 (FSecure), Trojan.Win32.Generic!SB.0 (Sunbelt), W32/Tepfer.A!tr.pws (Fortinet)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Spyware
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.
Este malware se elimina tras la ejecución.
TECHNICAL DETAILS
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:
- %User Profile%\Application Data\svchost.exe
- %User Profile%\Application Data\System32\csrss.exe
- %User Profile%\Application Data\System32\rundll32.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Crea las carpetas siguientes:
- %User Profile%\Application Data\System32
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Este malware utiliza un nombre de archivo similar al del archivo auténtico para hacerse pasar por legítimo.
Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Process = %User Profile%\Application Data\System32\csrss.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Host-process Windows (Rundll32.exe) = %User Profile%\Application Data\System32\csrss.exe
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Service Host Process for Windows = %User Profile%\Application Data\svchost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Client Server Runtime Process = %User Profile%\Application Data\System32\csrss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Host-process Windows (Rundll32.exe) = %User Profile%\Application Data\System32\csrss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
Service Host Process for Windows = %User Profile%\Application Data\svchost.exe
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\BC Clients
{random 1 digit character} = {random garbage look alike characters}
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Client Server Runtime Process = %User Profile%\Application Data\System32\csrss.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Host-process Windows (Rundll32.exe) = %User Profile%\Application Data\System32\csrss.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
Service Host Process for Windows = %User Profile%\Application Data\svchost.exe
Otros detalles
Este malware se elimina tras la ejecución.