Nombre:TR/VB.QN.1
Descubierto:20/12/2004
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:77.312 Bytes
Suma de control MD5:976753dd82759b6ca8f5c4b62cc25f92
Versión del VDF:6.29.00.24

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Prutec
   •  Kaspersky: Trojan-Spy.Win32.VB.eh
   •  Sophos: Troj/Prutec-K
   •  Bitdefender: Trojan.Spy.VB.ED


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Descarga ficheros
   • Descarga ficheros dañinos
   • Suelta ficheros
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %directorio donde se ejecuta el programa viral%\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %raíz de la partición del sistema%\~



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %directorio donde se ejecuta el programa viral%\key.~
   • %directorio donde se ejecuta el programa viral%\log.~

%TEMPDIR%\%número hexadecimal%.exe



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://prutect.com/**********
El fichero está guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\iniwin32.dll Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: ADSPY/E2Give.D

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%ficheros ejecutados%"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • "%ficheros ejecutados%"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • "%ficheros ejecutados%"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"



Elimina del registro de Windows los valores de las siguientes claves:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • ptech
   • PTECH
   • ptach
   • PTACH
   • ptich
   • PTICH



Añade las siguientes claves al registro:

– [HKCR\CLSID\{%CLSID generados%}]
   • "InprocServ32"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}]
   • @="CControl Object"
   • "AppID"=""
   • "AppId2"=dword:%número hexadecimal%
   • "AppID3"="Verified"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\InprocServer32]
   • "ThreadingModel"="apartment"

– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\ProgID]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\Programmable]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\TypeLib]
– [HKCR\CLSID\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}\
   VersionIndependentProgID]
– [HKCR\AppID\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}]
– [HKCR\AppID\IeBHOs.DLL]
– [HKCR\IeBHOs.Control\CurVer]
   • @="IeBHOs.Control.1"

– [HKCR\IeBHOs.Control\CLSID]
– [HKCR\IeBHOs.Control.1\CLSID]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\0\win32]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\FLAGS]
– [HKCR\TypeLib\{3B99F202-145A-4E5A-AC7B-88A36910BF5E}\1.0\HELPDIR]
– [HKLM\SOFTWARE\E2G]
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{3643ABC2-21BF-46B9-B230-F247DB0C6FD6}]


Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • "AppInit_DLLs"="%configuración definida por el usuario%"
   Nuevo valor:
   • "AppInit_DLLs"="iniwin32.dll"

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://prutect.com/**********
   • http://prutect.com/**********
   • http://216.122.145.209/**********
   • http://216.122.145.208/**********
   • http://prutect.com/**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante una interrogación HTTP GET en un script CGI.
Esto se realiza mediante el método HTTP POST, empleando un script CGI.
La respuesta del servidor queda escrita en el fichero: %directorio donde se ejecuta el programa viral%\data.~


Envía informaciones acerca de:
    • Estado actual del programa viral
    • ID de la plataforma
    • Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
    • Descargar fichero
    • Visitar un sitio web

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Daniel Constantin el jueves 4 de mayo de 2006
Descripción actualizada por Daniel Constantin el jueves 4 de mayo de 2006

Volver . . . .