DNSChanger

 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
Low
Medium
High
Critical

  • Threat Type:
    Trojan

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

INFECTION CHANNEL: Descargado de Internet


  TECHNICAL DETAILS

Memory resident: Yes
PAYLOAD: Connects to URLs/IPs, Modifies system registry, Steals information, Terminates processes

Instalación

Infiltra los archivos siguientes:

  • %System%\spool\prtprocs\w32x86\{random}.dll
  • %System%\ernel32.dll

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\spool\PRTPROCS\W32X86\000029cc.tmp
  • %User Temp%\{random}
  • %System%\{random}.exe
  • %Application Data%\{random}.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Técnica de inicio automático

Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_MSWU-B04BA347

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Enum\Root\LEGACY_MSWU-B04BA347\
0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\MSWU-b04ba347

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UacDisableNotify = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\
List
%System%\spoolsv.exe = "%System%\spoolsv.exe:*:Enabled:spoolsv.exe"

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
NameServer = "{BLOCKED}.{BLOCKED}.162.160,{BLOCKED}.{BLOCKED}.166.191"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters
DhcpNameServer = "{BLOCKED}.{BLOCKED}.162.160,{BLOCKED}.{BLOCKED}.166.191"

(Note: The default value data of the said registry entry is {user-defined}.)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Tcpip\Parameters\
Interfaces\{CLSID}
DhcpNameServer = "{BLOCKED}.{BLOCKED}.162.160.{BLOCKED}.{BLOCKED}.166.191"

(Note: The default value data of the said registry entry is {user-defined}.)