Author: Jaime Benigno Reyes   
 

TrojanDownloader:Win32/Upatre.L (Microsoft), Trojan.Win32.Bublik.btmp (Kaspersky)

 PLATFORM:

Windows 2000, Windows Server 2003, Windows XP (32-bit, 64-bit), Windows Vista (32-bit, 64-bit), Windows 7 (32-bit, 64-bit)

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Se ejecuta y, a continuación, se elimina.

Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.

  TECHNICAL DETAILS

File size: 12,288 bytes
File type: EXE
Memory resident: No
INITIAL SAMPLES RECEIVED DATE: 07 января 2013

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %User Temp%\trueupdater.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Se ejecuta y, a continuación, se elimina.

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

  • https://{BLOCKED}fieldsplace.co.uk/images/wav.exe

Guarda los archivos que descarga con los nombres siguientes:

  • %User Temp%\weniu.exe

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

)

Después ejecuta los archivos descargados. Como resultado, en el sistema afectado se muestran las rutinas maliciosas de los archivos descargados.