Nombre:BDS/Ginwui.A.4
Descubierto:22/05/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:73.245 Bytes
Suma de control MD5:6d69ab10c2e8194465ab25cbfb96dae6
Versión del VDF:6.34.01.120

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Backdoor.Ginwui.B
   •  Mcafee: BackDoor-CKB
   •  Kaspersky: Backdoor.Win32.Ginwui.a
   •  TrendMicro: BKDR_GINWUI.B
   •  Bitdefender: Backdoor.Ginwui.B


Plataformas / Sistemas operativos:
   • Windows NT
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %TEMPDIR%\20060426.bak



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%SYSDIR%\zsydll.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Ginwui.A.DLL

%SYSDIR%\zsyhide.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Ginwui.A

 Registro Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   zsydll]
   • DllName = %SYSDIR%\zsydll.dll
   • Shutdown = DoShutdown
   • Startup = DoStartup
   • Asynchronous = 1
   • Impersonate = 0



Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuevo valor:
   • AppInit_DLLs = %SYSDIR%\zsyhide.dll

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • http://scfzf.xi**********

De esta forma, puede enviar informaciones y obtener el control remoto. Además, rehace la conexión periódicamente.

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\zsydll.dll

    Nombre del proceso:
   • iexplore.exe


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Andrei Gherman el lunes 22 de mayo de 2006
Descripción actualizada por Andrei Gherman el lunes 22 de mayo de 2006

Volver . . . .