Descripción completa

Nombre:	TR/PSW.Lmir.aae.3
Descubierto:	08/07/2005
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	19.929 Bytes
Suma de control MD5:	0247bbc64162b9981ad008a59891d3da
Versión del VDF:	6.31.0.168

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Symantec: Backdoor.Trojan
   • Kaspersky: Trojan-PSW.Win32.Lmir.aae
   • Bitdefender: Trojan.Pws.Lmir.AAE

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga un fichero dañino
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\yklgvh.exe

Elimina la copia inicial del virus.

Crea los siguientes ficheros:

– %WINDIR%\SchedLgU.txt Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • "Task Scheduler Service"
      Started at date time
     "Task Scheduler Service"
      Exited at date time
     "Task Scheduler Service"
      Started at date time
     "Task Scheduler Service"
      Exited at date time

     [ ***** Most recent entry is above this line ***** ]



– %SYSDIR%\Yklgvh.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSWTR.PSW.aae.2

– %SYSDIR%\drivers\yklgvh.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/PcClient.K.1

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • kissyou8**********.com/pcshare.txt
El fichero está guardado en el disco duro en: %temporary internet files%\pcshare.txt Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

– La dirección es la siguiente:
   • pcshare.txt
El fichero está guardado en el disco duro en: %temporary internet files%\dlfile.asp Además, este fichero es ejecutado después de haber sido completamente descargado. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh]
   • "Type"=dword:00000001
   • "Start"=dword:00000003
   • "ErrorControl"=dword:00000001
   • "DisplayName"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh\Enum]
   • "0"="Root\\LEGACY_YKLGVH\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH\0000]
   • "Service"="Yklgvh"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YKLGVH\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Yklgvh"

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh\Security]
   • "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
      00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
      00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
      05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
      20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
      00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
      00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

– [HKLM\SYSTEM\CurrentControlSet\Services\Yklgvh]
   • "ImagePath"=\??\%SYSDIR%\drivers\Yklgvh.sys

– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
   • "ImagePath"=%SYSDIR%\Yklgvh.exe -k netsvcs

Inyectar el código viral en otros procesos – Se inyecta en un proceso.

Nombre del proceso:
• Internet Explorer

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Sergiu Oprea el miércoles 3 de agosto de 2005
Descripción actualizada por Sergiu Oprea el viernes 30 de septiembre de 2005

Volver . . . .