Nombre:TR/Spy.Haxspy.AE
Descubierto:21/07/2006
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:10.824 Bytes
Suma de control MD5:9471026d4c6e1911e317af28ac259a6b
Versión del VDF:6.34.01.155
Versión del IVDF:6.34.01.161 - martes 30 de mayo de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Trojan.Goldun
   •  Kaspersky: Trojan-Spy.Win32.Haxspy.ae
   •  TrendMicro: TSPY_GOLDUN.AO
   •  VirusBuster: TrojanSpy.Haxspy.Y
   •  Bitdefender: Trojan.Spy.Haxspy.AE


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Crea el siguiente fichero:

%SYSDIR%\wndtx1.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Bolol.A.4

%SYSDIR%\ipudpb2.sys Detectado como: TR/Spy.Haxspy.AE

 Registro Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   • "isfr2"="[%serie de caracteres aleatorios%[%nombre del usuario actual% ]"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   wndtx1]
   • "DllName"=wndtx1.dll
   • "Startup"="wndtx1"
   • "Impersonate"=dword:00000001
   • "Asynchronous"=dword:00000001
   • "MaxWait"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2]
   • "Type"=dword:00000001
   • "Start"=dword:00000001
   • "ErrorControl"=dword:00000000
   • "ImagePath"=\??\%SYSDIR%\IPUDPB2.SYS
   • "DisplayName"="IP2 UDPB2"

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\ipudpb2\Enum]
   • "0"="Root\\LEGACY_IPUDPB2\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001



Modifica la siguiente clave del registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\Session Manager]
   Valor anterior:
   • "PendingFileRenameOperations"=%valores hex%
   Nuevo valor:
   • "PendingFileRenameOperations"=%valores hex%

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://www.salidol.biz/**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.


Envía informaciones acerca de:
    • Usuario actual
    • Las informaciones recolectadas, descritas en la sección
    • Informaciones acerca del sistema operativo Windows

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

– Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • http://www.e-gold.com
   • %cualquier página web HTTPS que contenga un formulario de login%

– Captura:
    • Información de la ventana
    • Ventana del navegador
    • Informaciones para iniciar sesión

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\wndtx1.dll

    Los siguientes procesos:
   • iexplore.exe
   • %todos los procesos se han iniciado después de que el malware es activo en la memoria% 


 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:


Método empleado:
    • Oculto en Windows API

Engancha las siguientes funciones API:
   • NtCreateProcess
   • NtCreateProcessEx
   • ZwCreateProcess
   • ZwCreateProcessEx

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG

Descripción insertada por Monica Ghitun el viernes 21 de julio de 2006
Descripción actualizada por Monica Ghitun el miércoles 2 de agosto de 2006

Volver . . . .