Nombre:TR/PSW.Small.BS.3
Descubierto:12/09/2006
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:24.236 Bytes
Suma de control MD5:782aa60074ea0620b2c974bf9f17507a
Versión del VDF:6.35.01.216
Versión del IVDF:6.35.01.220 - miércoles 13 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Spy-Agent.bg


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\9129837.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%WINDIR%\hide_evr2.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Small.BS.3

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • ttool = %WINDIR%\9129837.exe



Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2]
   • Type = 1
   • Start = 3
   • ErrorControl = 0
   • ImagePath = \??\%WINDIR%\hide_evr2.sys
   • DisplayName = !!!!

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\ControlSet001\Services\hide_evr2\Enum]
   • 0 = Root\LEGACY_HIDE_EVR2\0000
   • Count = 1
   • NextInstance = 1



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\InetData]
   • k1 = %número hexadecimal%
   • k2 = %número hexadecimal%



Modifica la siguiente clave del registro:

Desactiva el cortafuego de Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • Start = %configuración definida por el usuario%
   Nuevo valor:
   • Start = 4

 Finalización de los procesos  Desactiva el siguiente servicio:
   • Security Center

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%WINDIR%\9129837.exe en un puerto TCP aleatorio para funcionar como servidor proxy Socks 5,


Servidor contactado:
Las siguientes:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Contraseñas guardadas
    • Puerto abierto
    • Las informaciones recolectadas, descritas en la sección


Capabilidades de control remoto:
    • Descargar fichero
    • Ejecutar fichero

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas
– Contraseñas guardadas, empleadas por la función AutoComplete

 Tecnología Rootkit Oculta las siguientes:
– Su propio proceso

– Los siguientes ficheros:
   • 9129837.exe
   • hide_evr2.sys

– El siguiente valor del registro:
   • ttool


Método empleado:
    • Oculto en Windows API

Engancha las siguientes funciones API:
   • NtEnumerateValueKey / ZwEnumerateValueKey
   • NtQueryDirectoryFile / ZwQueryDirectoryFile
   • NtQuerySystemInformation / RtlGetNativeSystemInformation

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el miércoles 27 de septiembre de 2006
Descripción actualizada por Andrei Gherman el miércoles 27 de septiembre de 2006

Volver . . . .