Nombre:WORM/Klone.B.131
Descubierto:22/12/2005
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:8.238 Bytes
Suma de control MD5:58fc31a3d9e462376d1d5a56abbd5a80
Versión del VDF:6.33.00.55

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Downloader-ZQ
   •  Kaspersky: Packed.Win32.Klone.b
   •  Bitdefender: GenPack:Trojan.Downloader.Galapoper.A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Descarga un fichero dañino
   • Modificaciones en el registro

 Ficheros Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://69.50.171.171/images/**********
El fichero está guardado en el disco duro en: %SYSDIR%\paradise.raw.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Packed.Klone.b.1


– La dirección es la siguiente:
   • http://69.50.171.171/**********
El fichero está guardado en el disco duro en: %SYSDIR%\svcp.csv

– La dirección es la siguiente:
   • http://69.50.171.171/**********
El fichero está guardado en el disco duro en: %SYSDIR%\winsub.xml

 Registro Añade la siguiente clave al registro:

– [HKEY_CURRENT_USER]
   • "WindowsSubVersion"=dword:%valores hex%

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • http://69.50.171.171/**********

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script PHP.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • gagagaradio

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Daniel Constantin el martes 27 de diciembre de 2005
Descripción actualizada por Daniel Constantin el miércoles 1 de marzo de 2006

Volver . . . .