Microsoft: Refpron; Symantec: Sopiclick; McAfee: Refpron, Sopiclick; Sunbelt: Refpron, Sopiclick; Authentium: Koblu; Fortinet: Koblu; Fprot: Koblu; Ikarus: Refpron, Koblu; Eset: Refpron; Panda: Refpron

 PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Se conecta a determinadas URL. Uno de los objetivos para ello puede ser informar remotamente de su instalación a un usuario malicioso. También puede hacerlo para descargar archivos maliciosos en el equipo, lo que aumentaría su riesgo de infección por parte de otras amenazas.

  TECHNICAL DETAILS

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
WBEM
UpdateNew = "{hex values}"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
WBEM
uid = "unknow"

Rutina de descarga

Se conecta a las siguientes URL maliciosas:

  • {BLOCKED}3.{BLOCKED}5.105.218
  • {BLOCKED}4.{BLOCKED}3.126.2.4
  • {BLOCKED}4.{BLOCKED}3.72.250
  • {BLOCKED}4.{BLOCKED}7.57.154
  • {BLOCKED}4.{BLOCKED}0.176.66
  • {BLOCKED}4.{BLOCKED}1.44.5
  • {BLOCKED}4.{BLOCKED}1.44.8
  • {BLOCKED}4.{BLOCKED}9.86.26
  • {BLOCKED}6.{BLOCKED}6.221.101
  • {BLOCKED}4.{BLOCKED}4.201.210
  • {BLOCKED}4.{BLOCKED}5.37.210
  • {BLOCKED}kq.com
  • {BLOCKED}bits.com
  • {BLOCKED}vity.com
  • {BLOCKED}vest.com