TSPY_TRICKLOAD.RZ

Se conecta a determinados sitios Web para enviar y recibir información.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %Application Data%\winapp\{random filename}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Agrega los procesos siguientes:

• svchost.exe

Crea las carpetas siguientes:

• %Application Data%\winapp\Modules\injectDll32_configs
• %Application Data%\winapp
• %Application Data%\winapp\Modules

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Este malware inyecta códigos en el/los siguiente(s) proceso(s):

• Created svchost.exe

Técnica de inicio automático

Infiltra los archivos siguientes:

• %System%\Tasks\services update

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

La tarea programada ejecuta el malware con cada:

• minute

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

• http://www.download.{BLOCKED}update.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab

Guarda los archivos que descarga con los nombres siguientes:

• %Application Data%\winapp\client_id
• %Application Data%\winapp\config.conf
• %Application Data%\winapp\group_tag
• %Application Data%\winapp\Modules\injectDll32
• %Application Data%\winapp\Modules\systeminfo32
• %Application Data%\winapp\Modules\injectDll32_configs\dinj
• %Application Data%\winapp\Modules\injectDll32_configs\dpost
• %Application Data%\winapp\Modules\injectDll32_configs\sinj

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• {BLOCKED}.{BLOCKED}.178.114:443
• {BLOCKED}.{BLOCKED}.178.145:443
• {BLOCKED}.{BLOCKED}.84.2:447
• {BLOCKED}.{BLOCKED}.206.187:443
• {BLOCKED}.{BLOCKED}.82.174:443
• {BLOCKED}.{BLOCKED}.170.155:447
• {BLOCKED}.{BLOCKED}.218.117:443
• {BLOCKED}.{BLOCKED}.161.204:443
• {BLOCKED}.{BLOCKED}.169.106:443
• {BLOCKED}.{BLOCKED}.158.250:443
• {BLOCKED}.{BLOCKED}.30.30:443
• {BLOCKED}.{BLOCKED}.113.75:447
• {BLOCKED}.{BLOCKED}.146.77:443
• {BLOCKED}.{BLOCKED}.201.149:443
• {BLOCKED}.{BLOCKED}.208.202:447
• {BLOCKED}.{BLOCKED}.210.150:443
• {BLOCKED}.{BLOCKED}.114.233:443
• {BLOCKED}.{BLOCKED}.92.199:443
• {BLOCKED}.{BLOCKED}.165.16:443
• {BLOCKED}.{BLOCKED}.165.31:443
• {BLOCKED}.{BLOCKED}.136.55:443
• {BLOCKED}.{BLOCKED}.4.216:447
• {BLOCKED}.{BLOCKED}.68.140:443
• {BLOCKED}.{BLOCKED}.121.250:443
• {BLOCKED}.{BLOCKED}.91.27:443