Author: Cris Nowell Pantanilla   
 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Se ejecuta y, a continuación, se elimina.

Se conecta a determinadas URL. Uno de los objetivos para ello puede ser informar remotamente de su instalación a un usuario malicioso. También puede hacerlo para descargar archivos maliciosos en el equipo, lo que aumentaría su riesgo de infección por parte de otras amenazas. No obstante, de este modo no se podrá acceder a los sitios mencionados.

  TECHNICAL DETAILS

File size: 70,192 bytes
File type: EXE
Memory resident: No
INITIAL SAMPLES RECEIVED DATE: 04 июля 2009

Instalación

Infiltra los archivos siguientes:

  • %System%\mspciuv.dll

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Su componente DLL se inyecta en el(los) siguiente(s) proceso(s):

  • svchost.exe

Se ejecuta y, a continuación, se elimina.

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\stisvc\Parameters
ServiceDll = "%System%\mspciuv.dll"

(Note: The default value data of the said registry entry is %SystemRoot%\system32\wiaservc.dll.)

Rutina de descarga

Se conecta a las siguientes URL maliciosas:

  • hackerken.{BLOCKED}2.org

No obstante, de este modo no se podrá acceder a los sitios mencionados.