Nombre:TR/PSW.Small.BS.1
Descubierto:12/09/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:40.960 Bytes
Suma de control MD5:e749eb17826b0Ec9671d21be9160ab86
Versión del VDF:6.35.01.216
Versión del IVDF:6.35.01.220 - miércoles 13 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-PSW.Win32.Small.bs
   •  Sophos: Troj/PWS-HP
   •  Bitdefender: Trojan.PSW.Small.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\9129837.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%WINDIR%\hide_evr2.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Small.BS.3

%directorio donde se ejecuta el programa viral%\a.bat Este fichero batch es empleado para eliminar un fichero.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"



Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%serie de caracteres aleatorios%
   • "k2"=%serie de caracteres aleatorios%

 Backdoor (Puerta trasera) Abre el siguiente puerto:
en un puerto UDP aleatorio para proporcionar capabilidades de backdoor.


Servidor contactado:
Las siguientes:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.


Envía informaciones acerca de:
    • Estado actual del programa viral
    • Las informaciones recolectadas, descritas en la sección

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • %cualquier sitio web que contiene un formulario de
      autentificación%

– Captura:
    • Información de la ventana
    • Ventana del navegador

 Tecnología Rootkit Oculta las siguientes:
– Sus propios ficheros
– Su propio proceso
– Sus propias claves del registro


Método empleado:
    • Oculto en Windows API

Descripción insertada por Marius T. Nicolae el jueves 21 de septiembre de 2006
Descripción actualizada por Andrei Ivanes el jueves 19 de octubre de 2006

Volver . . . .