Descripción completa

Nombre:	TR/PSW.Maran.G.5
Descubierto:	02/08/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	52.599 Bytes
Suma de control MD5:	c851c808d7a10F0E45a7f0771b152a64
Versión del VDF:	6.35.01.35
Versión del IVDF:	6.35.01.35

General Método de propagación:
   • No tiene rutina propia de propagación

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta ficheros
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Elimina la copia inicial del virus.

Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
• %SYSDIR%\sporder.dll

– %SYSDIR%\gzfmxp.dll
– %SYSDIR%\hjxrbpv.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Maran.M

– %SYSDIR%\narbpv.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Maran.M.1

– %SYSDIR%\xprasu.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Maran.M.2

– %SYSDIR%\xpvlporn.dll Los análisis adicionales indicaron que este fichero es también viral.

Registro Añade la siguiente clave al registro:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000013
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%valores hex%

Modifica las siguientes claves del registro:

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9
   Nuevo valor:
   • "Serial_Access_Num"=word:00000006
     "Next_Catalog_Entry_ID"=word:000003f6
     "Num_Catalog_Entries"=word:0000000d

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000012
   Nuevo valor:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000011
   Nuevo valor:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000010
   Nuevo valor:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000009
   Nuevo valor:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll.6%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000008
   Nuevo valor:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000007
   Nuevo valor:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000006
   Nuevo valor:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000005
   Nuevo valor:
   • "PackedCatalogItem"=%SystemRoot%\system32\rsvpsp.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000004
   Nuevo valor:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000003
   Nuevo valor:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000002
   Nuevo valor:
   • "PackedCatalogItem"=%SystemRoot%\system32\mswsock.dll%valores hex%

– HKLM\SYSTEM\ControlSet001\Services\WinSock2\Parameters\
   Protocol_Catalog9\Catalog_Entries\000000000001
   Nuevo valor:
   • "PackedCatalogItem"=%SYSDIR%\xprasu.dll%valores hex%

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Marius T. Nicolae el lunes 18 de septiembre de 2006
Descripción actualizada por Andrei Ivanes el miércoles 18 de octubre de 2006

Volver . . . .