Nombre:TR/PSW.Small.BS.2
Descubierto:12/09/2006
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:12.592 Bytes
Suma de control MD5:978ded8c7055e4c5e650600D2fcc0C3f
Versión del VDF:6.35.01.216
Versión del IVDF:6.35.01.220 - miércoles 13 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Sophos: Troj/PWS-HP
   •  Bitdefender: Trojan.PSW.Small.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\9129837.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%WINDIR%\hide_evr2.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Small.BS.3

%directorio donde se ejecuta el programa viral%\a.bat Este fichero batch es empleado para eliminar un fichero.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.exe"



Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"=\??\%WINDIR%\hide_evr2.sys
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%serie de caracteres aleatorios%
   • "k2"=%serie de caracteres aleatorios%

 Backdoor (Puerta trasera) Abre el siguiente puerto:
en un puerto UDP aleatorio para proporcionar capabilidades de backdoor.


Servidor contactado:
Las siguientes:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.


Envía informaciones acerca de:
    • Estado actual del programa viral
    • Las informaciones recolectadas, descritas en la sección

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • %cualquier sitio web que contiene un formulario de
      autentificación%

– Captura:
    • Información de la ventana
    • Ventana del navegador

 Tecnología Rootkit Oculta las siguientes:
– Sus propios ficheros
– Su propio proceso
– Sus propias claves del registro


Método empleado:
    • Oculto en Windows API

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Marius T. Nicolae el viernes 22 de septiembre de 2006
Descripción actualizada por Andrei Ivanes el jueves 19 de octubre de 2006

Volver . . . .