Nombre:TR/Click.VB.PF
Descubierto:12/09/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:22.528 Bytes
Suma de control MD5:9fb4d2300fafec7989db659fbf73ac8a
Versión del VDF:6.35.01.215
Versión del IVDF:6.35.01.219 - miércoles 13 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Clicker.Win32.VB.pf
   •  TrendMicro: TROJ_VB.BKM
   •  F-Secure: Trojan-Clicker.Win32.VB.pf
   •  Grisoft: Clicker.CWG
   •  Eset: Win32/TrojanClicker.VB.OO


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Suelta un fichero
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\Services.exe



Crea el siguiente fichero:

%directorio donde se ejecuta el programa viral%\killme.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • www.sou15.com/fowfly/**********
El fichero está guardado en el disco duro en: %temporary internet files%\IeFavorites.txt

– La dirección es la siguiente:
   • www.sou15.com/fowfly/**********
El fichero está guardado en el disco duro en: %temporary internet files%\adset.txt

– La dirección es la siguiente:
   • www.sou15.com/fowfly/**********
El fichero está guardado en el disco duro en: %temporary internet files%\adlist.txt Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Services"="%WINDIR%\Services.exe"



Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Internet Explorer\International]
   • @=""
   • "W2KLpk"=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\International\CpMRU]
   • "Enable"=dword:00000001
   • "Size"=dword:0000000a
   • "InitHits"=dword:00000064
   • "Factor"=dword:00000014

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • www.sou15.com/fowfly/**********

De esta forma puede enviar informaciones.

Envía informaciones acerca de:
    • Nombre del ordenador
    • Estado actual del programa viral

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • ASPack

Descripción insertada por Adriana Popa el jueves 12 de octubre de 2006
Descripción actualizada por Adriana Popa el jueves 12 de octubre de 2006

Volver . . . .