Nombre:TR/Proxy.Wopla.Q.4
Descubierto:02/02/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:20.992 Bytes
Suma de control MD5:f021056fd653f96ea629dd6bfca6d444
Versión del VDF:6.33.00.187

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Trojan.Tannick.B
   •  Kaspersky: Trojan-Proxy.Win32.Wopla.q
   •  Bitdefender: Trojan.Proxy.Wopla.Q


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\%serie de caracteres aleatorios de ocho dígitos%.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • %SYSDIR%\xtempx.xxx

%SYSDIR%\%serie de caracteres aleatorios de ocho dígitos%.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Proxy.Wopla.Q.1

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   • "SysTray.Exgl"="{636821FC-6F5C-2f1b-B164-E67214F678E2}"

– [HKLM\SOFTWARE\Classes\CLSID\{636821FC-6F5C-2f1b-B164-E67214F678E2}\
   InProcServer32]
   • @="%SYSDIR%\%fichero dll viral%"
   • "ThreadingModel"="Apartment"



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   • "Placeholder_Datagl"=%valores hex%gl.secd**********%valores hex%gl.nulladd**********%valores hex%

 Correo electrónico Contiene un motor SMTP integrado para enviar correo no solicitado (spam). Establece una conexión directa con el servidor de destinación. Sus características están descritas a continuación:


De:
La dirección del remitente es falsa.
Direcciones recolectadas del Internet. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o ni siquiera esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones recolectadas del Internet.


Asunto:
El siguiente:
   • %recogido del Internet%



El cuerpo del mensaje:
El cuerpo del mensaje de correo es el siguiente:
   • %recogido del Internet%

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%WINDIR%\explorer.exe en un puerto TCP aleatorio para funcionar como servidor proxy Socks 5,


Servidor contactado:
La siguiente:
   • gl.secd**********

De esta forma obtiene el control remoto.

Capabilidades de control remoto:
    • Enviar mensajes de correo
    • Visitar un sitio web

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • rgl_eqfdsafsdamrytrrrrrrtrrtdytcjuyrnedk

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PECompact

Descripción insertada por Daniel Constantin el lunes 6 de marzo de 2006
Descripción actualizada por Daniel Constantin el jueves 9 de marzo de 2006

Volver . . . .