Nombre:TR/Dldr.Krepper.G.2
Descubierto:19/09/2005
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:26.624 Bytes
Suma de control MD5:105b31a167a5d9751ac15c3032394513
Versión del VDF:6.26.0.8

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: MultiDropper-IM
   •  Kaspersky: Trojan-Downloader.Win32.Krepper.g
   •  TrendMicro: TROJ_KREPPER.G
   •  Sophos: Troj/Krepper-G
   •  Grisoft: Downloader.Krepper.I
   •  VirusBuster: Trojan.DL.Krepper.H
   •  Bitdefender: Trojan.Downloader.Kreeper.G


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Descarga ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\inetdata\services.exe



Añade una sección al fichero.
– Para: %WINDIR%\System.ini Con el siguiente contenido:
   • load=%WINDIR%\inetdata\winlogon.exe




Crea el siguiente fichero:

%WINDIR%\inetdata\version.txt



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • **********.com/gallerys/xpsystem/3.00.36.exe
El fichero está guardado en el disco duro en: %WINDIR%\inetdata\winlogon.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.CWS.h.1.B


– La dirección es la siguiente:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
El fichero está guardado en el disco duro en: %WINDIR%\inetdata\3.00.09.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Delf.BV.1

 Registro Las siguientes claves del registro se encuentran en un bucle infinito, añadido para ejecutar los procesos al reiniciar el sistema.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\services.exe"



Registra un objeto BHO (browser helper object), añadiendo la siguiente clave al registro:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Añade las siguientes claves al registro:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\services.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "statexpsystem"=dword:00000000
   • "estatexpsystem"=dword:00000000
   • "state"=%serie de caracteres aleatorios%

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • **********.com/gallerys/xpsystem/version.txt.php?

De esta forma obtiene el control remoto. Esto se realiza mediante una interrogación HTTP GET en un script PHP.
La respuesta del servidor queda escrita en el fichero: %WINDIR%\inetdata\version.txt


Capabilidades de control remoto:
    • Descargar fichero

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea los siguientes programas de compresión de ejecutables:
   • PE_Patch.PECompact
   • PecBundle
   • PECompact

Descripción insertada por Irina Boldea el lunes 19 de septiembre de 2005
Descripción actualizada por Irina Boldea el martes 27 de septiembre de 2005

Volver . . . .