Nombre:TR/Dldr.CWS.h.1.B
Descubierto:19/09/2005
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:13.824 Bytes
Suma de control MD5:3bb19c92f33d0b89cf823bacea72efa9
Versión del VDF:6.32.0.38

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.CWS.h
   •  TrendMicro: TROJ_DLOADER.ABQ


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Descarga ficheros dañinos
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\inetdata\services.exe



Añade una sección al fichero.
– Para: %WINDIR%\system.ini Con el siguiente contenido:
   • load=%WINDIR%\inetdata\services.exe
     




Crea el siguiente fichero:

%WINDIR%\inetdata\tmp



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • traff-**********.com/ef.exe
El fichero está guardado en el disco duro en: %WINDIR%\ef.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.CWS.C.2


– La dirección es la siguiente:
   • traff-**********.com/killer.exe
El fichero está guardado en el disco duro en: %WINDIR%\skiller.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.CWS.A


– La dirección es la siguiente:
   • traff-**********.com/socks5.exe
El fichero está guardado en el disco duro en: %WINDIR%\winsocks5.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Proxy.Small.bt.3


– La dirección es la siguiente:
   • **********.com/mm.exe
El fichero está guardado en el disco duro en: %WINDIR%\mm1.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.CWS.h.2


– La dirección es la siguiente:
   • traff-**********.com/gallerys/xpsystem/3.00.09.dll
El fichero está guardado en el disco duro en: %WINDIR%\inetdata\3.00.09.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Delf.BV.1

 Registro Las siguientes claves del registro se encuentran en un bucle infinito, añadido para ejecutar los procesos al reiniciar el sistema.

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "xp_system"="%WINDIR%\inetdata\winlogon.exe"



Registra un objeto BHO (browser helper object), añadiendo la siguiente clave al registro:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @=""



Añade las siguientes claves al registro:

– HKCU\Software\Microsoft\Internet Explorer\Main
   • "Enable Browser Extensions"="yes"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}
   • @="HBO Class"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\InprocServer32
   • @="%WINDIR%\inetdata\3.00.09.dll"
   • "ThreadingModel"="Apartment"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\ProgID
   • @="Replace.HBO.1"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\Programmable
   • @=""

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\TypeLib
   • @="{516A36EA-AFE2-4965-A492-B198B7F7B018}"

– HKCR\CLSID\{5321E378-FFAD-4999-8C62-03CA8155F0B3}\
   VersionIndependentProgID
   • @="Replace.HBO"

– HKCR\Replace.HBO
   • @="HBO Class"

– HKCR\Replace.HBO\CLSID
   • @="{5321E378-FFAD-4999-8C62-03CA8155F0B3}"

– HKCR\Replace.HBO\CurVer
   • @="Replace.HBO.1"

– HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
   • "run"="%WINDIR%\inetdata\winlogon.exe"

– HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer
   • "state"=%serie de caracteres aleatorios%

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • traff-**********.com/affiliate/interface.php?
   • traff-**********.com/affiliate/counter.php?

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Envía informaciones acerca de:
    • ID de la plataforma
    • Actividad local de los usuarios

 Informaciones diversas Objeto mutex:
Crea los siguientes objetos mutex:
   • userenv: machine policy mutex
   • userenv: user policy mutex

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.

Descripción insertada por Irina Boldea el lunes 19 de septiembre de 2005
Descripción actualizada por Irina Boldea el martes 27 de septiembre de 2005

Volver . . . .