Nombre:TR/PSW.Raven.A
Descubierto:10/03/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:31.913 Bytes
Suma de control MD5:8b0908665655c086ae2277f913ec9a86
Versión del VDF:6.34.00.26

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Raven.a


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\msoff.exe



Crea los siguientes ficheros:

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGps Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %informaciones robadas%

– %ALLUSERSPROFILE%\Documents\Settings\raven2BGlog_temp%serie de caracteres aleatorios% Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %informaciones robadas%

%TEMPDIR%\jav2.tmp Los análisis adicionales indicaron que este fichero es también viral.
– %ALLUSERSPROFILE%\Documents\Settings\desktop.ini Contiene parámetros empleados por el programa malicioso.
– %ALLUSERSPROFILE%\raven2BG_%serie de caracteres aleatorios%dat Este fichero sirve como indicador para una rutina interna.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Microsoft Office = %SYSDIR%\msoff.exe

 Backdoor (Puerta trasera) Abre el siguiente puerto:

– svchost.exe en un puerto TCP aleatorio para funcionar como servidor proxy Socks 5,


Servidor contactado:
Las siguientes:
   • http://downboost.com/m/**********
   • ftp://dust.downboost.com

De esta forma puede enviar informaciones.

Envía informaciones acerca de:
    • Ficheros de informe creados
    • Usuario actual
    • Dirección IP
    • Puerto abierto
    • Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
    • Iniciar la captura de pulsaciones de teclado

 Robo de informaciones Intenta robar las siguientes informaciones:
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene la siguiente subserie de caracteres en su URL:
   • %parámetro introducido%

– Captura:
    • Información de la ventana
    • Informaciones para iniciar sesión

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %TEMPDIR%\jav2.tmp

    Los siguientes procesos:
   • svchost.exe
   • lsass.exe


 Informaciones diversas Objeto mutex:
Crea los siguientes objetos mutex:
   • raven2BG_mutex_file_fake
   • raven2BG_mutex_file_vk
   • raven2BG_mutex_file_body
   • raven2BG_mutex_file_afil
   • raven2BG_event_upd_fake
   • raven2BG_event_upd_vk
   • raven2BG_event_upd_body
   • raven2BG_event_upd_afil
   • raven2BG_event_upd_packs
   • raven2BG_event_kw

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG 2.0

Descripción insertada por Andrei Gherman el miércoles 15 de marzo de 2006
Descripción actualizada por Andrei Gherman el miércoles 15 de marzo de 2006

Volver . . . .