Nombre:TR/Proxy.Horst.bl
Descubierto:19/04/2006
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:49.664 Bytes
Suma de control MD5:d06bf79493e4e41528f9ebf2d96a34a1
Versión del VDF:6.34.00.199
Versión del IVDF:6.34.00.201 - miércoles 19 de abril de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Horst.bl
   •  Bitdefender: Trojan.Proxy.Horst.Q


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\system\smss.exe



Crea los siguientes ficheros:

%TEMPDIR%\tmp1.tmp Los análisis adicionales indicaron que este fichero es también viral.
%SYSDIR%\nvsvcd.exe Los análisis adicionales indicaron que este fichero es también viral.



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://up.medbod.com/up/**********?jaal-1_%número%_%número%
El fichero está guardado en el disco duro en: %TEMPDIR%\%número%exmodul32.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • ".nvsvc"="%WINDIR%\system\smss.exe /w"



Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\nvsvcd.exe"
   • "DisplayName"="Windows Log"
   • "ObjectName"="LocalSystem"

– HKLM\SYSTEM\CurrentControlSet\Services\Windows Log\Security
   • "Security"=%valores hex%



Elimina la siguiente clave del registro, incluyendo todos sus valores y subclaves:
   • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\KAVPersonal50



Añade la siguiente clave al registro:

– HKCU\Software\Microsoft\PModule
   • "Hash"="%número hexadecimal%"
   • "Pid"=dword:00000c88

 Correo electrónico De:
Direcciones recolectadas del Internet. Por favor no piense que ha sido la intención del remitente enviarle este mensaje de correo. Es posible que dicho remitente no esté al tanto de la infección o ni siquiera esté infectado. Además, es posible que usted reciba mensajes devueltos, indicándole que está infectado. Esto también podría ser falso.


Para:
– Direcciones recolectadas del Internet.


El cuerpo del mensaje:
– Contiene código HTML.
El contenido es el mismo del fichero: http://seekj.lootseek.com/d/**********



El mensaje de correo se ve así:


 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: info.cabmun.**********
Puerto: 5190
Apodo: jaal-1_%número%_%número%

Servidor: up.barmuz.**********
Puerto: 1021
Apodo: jaal-1_%número%_%número%


– Además puede efectuar las siguientes operaciones:
    • Descargar fichero
    • Ejecutar fichero

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://rc.rizalof.com/**********?version=%número%



Envía informaciones acerca de:
    • Estado actual del programa viral

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Ionut Slaveanu el miércoles 14 de junio de 2006
Descripción actualizada por Ionut Slaveanu el miércoles 28 de junio de 2006

Volver . . . .