Nombre:TR/Click.Small.HR
Descubierto:23/08/2005
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:20.480 Bytes
Suma de control MD5:aab0b0d92b441763d45cff47c9224bcb
Versión del VDF:6.31.1.140

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: PWSteal.Lemir
   •  Kaspersky: Trojan-Clicker.Win32.Small.hr
   •  Panda: Trj/Agent.AIA
   •  Bitdefender: Trojan.Clicker.Small.HR


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\iexplore.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%WINDIR%\deleteme.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Microsoft"="%SYSDIR%\iexplore.exe"



Elimina del registro de Windows los valores de las siguientes claves:

–  HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
   • RavMon
   • KAVPersonal50
   • RavTimer
   • KvMonXP
   • iDuba Personal FireWall
   • KAVRun
   • KpopMon
   • Kulansyn
   • KavPFW
   • KvXP
   • ccApp
   • SSC_UserPrompt
   • NAV CfgWiz
   • MCAgentExe
   • McRegWiz
   • MCUpdateExe
   • MSKAGENTEXE
   • MSKDetectorExe
   • VirusScan Online
   • VSOCheckTask
   • McAfeeUpdaterUI
   • Network Associates Error Reporting Service
   • ShStatEXE
   • KavStart
   • Services
   • KWatch9x

–  HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run
   • iDuba Personal FireWall
   • KavPFW
   • KvXP



Añade las siguientes claves al registro:

– HKLM\SYSTEM\CurrentControlSet\Services\RsRavMon
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\RsCCenter
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\kavsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\KVSrvXP
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\wscsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\SNDSrvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccProxy
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccEvtMgr
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\ccSetMgr
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\SPBBCSvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\Symantec Core LC
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\navapsvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\NPFMntor
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\MskService
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\FireSvc
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McShield
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McTaskManager
   • Start=dword:00000004

– HKLM\SYSTEM\CurrentControlSet\Services\McAfeeFramework
   • Start=dword:00000004

 Finalización de los procesos Listado de los procesos finalizados:
   • CCAPP.EXE; EGHOST.EXE; explor.exe; FireTray.exe; Iparmor.exe;
      KATMain.EX; KAV32.EXE; KAVPFW.EXE; KAVPLUS.EXE; KAVStart.exe;
      KmailMon.EXE; KPOPMON.EXE; KRegEx.exe; KVCENTER.KXP; KvDetech.exe;
      KVFW.EXE; KVMonXP.KXP; KVOL.exe; kvolself.exe; KVXP.KXP; KWatch9x.exe;
      KWATCHUI.EXE; MAILMON.EXE; MCAGENT.EXE; MCVSESCN.EXE; MSKAGENT.EXE;
      RAV.EXE; RAVMON.EXE; RAVTIMER.EXE; SHSTAT.EXE; SOFTOK.EXE; TBMon.exe;
      TrojanDetector.EXE; TrojDie.kxp; UpdaterUI.exe; windox.exe

Han finalizado los procesos con las siguientes características:
    •  Título: Symantec AntiVirus     Nombre de clase: KV2004
    •  Título: RavMon.exe     Nombre de clase: RavMonClass
    •  Título: ZoneAlarm     Nombre de clase: ZAFrameWnd
    •  Título: %caracteres doble-byte%     Nombre de clase: Tapplication
    •  Título: %caracteres doble-byte%     Nombre de clase: TForm1
    •  Título: %aleator%     Nombre de clase: TfLockDownMain
    •  Título: %aleator%     Nombre de clase: KvXP_ExpertFrame
    •  Título: %aleator%     Nombre de clase: WHXMDI0

Listado de los servicios desactivados:
   • ccEvtMgr; ccProxy; ccSetMgr; FireSvc; kavsvc; KPfwSvc; KVSrvXP;
      KWatchSvc; McAfeeFramework; McShield; McTaskManager; MskService;
      navapsvc; NPFMntor; RsCCenter; RsRavMon; SNDSrvc; SPBBCSvc; Symantec
      Core LC; wscsvc

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Irina Boldea el martes 23 de agosto de 2005
Descripción actualizada por Irina Boldea el lunes 29 de agosto de 2005

Volver . . . .