¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:ADSPY/Boran.O.1
Descubierto:05/10/2006
Tipo:Troyano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:131.072 Bytes
Suma de control MD5:3c6f191fe0a913c40E7139d66ba0f7ac
Versin del VDF:6.35.01.09
Versin del IVDF:6.35.01.09

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Eset: Win32/Adware.Boran


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software

 Ficheros Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://www.update.borlander.cn/updadini/**********
El fichero est guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\updadini.ini Adems, este fichero es ejecutado despus de haber sido completamente descargado. Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

La direccin es la siguiente:
   • http://www.update.borlander.cn/updstd/**********
El fichero est guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\updstdex.ini Adems, este fichero es ejecutado despus de haber sido completamente descargado.

La direccin es la siguiente:
   • http://www.update.borlander.cn/updstd/**********
El fichero est guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\updstdup.ini Adems, este fichero es ejecutado despus de haber sido completamente descargado. Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Registra un objeto BHO (browser helper object), aadiendo la siguiente clave al registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"



Aade las siguientes claves al registro:

[HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\InprocServer32]
   • @="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"
   • "ThreadingModel"="Apartment"

[HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\ProgID]
   • @="Ad.AxObj.1"

[HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\Programmable]
[HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"

[HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\
   VersionIndependentProgID]
   • @="Ad.AxObj"

[HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0]
   • @="Ad 1.0 Type Library"

[HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\0\win32]
   • @="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

[HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\FLAGS]
   • @="0"

[HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\HELPDIR]
   • @="%malware execution directoy%"

[HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}]
   • @="IAxObj"

[HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

[HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"
   • "Version"="1.0"

[HKCR\Ad.AxObj]
   • @="stdup"

[HKCR\Ad.AxObj\CLSID]
   • @="{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}"

[HKCR\Ad.AxObj\CurVer]
   • @="Ad.AxObj.1"

[HKLM\SOFTWARE\Stdup]
   • "stdup"="3.2.2.2"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • "DisplayName"="WinStdup"
   • "UninstallString"="%SYSDIR%\rundll32.exe %directorio donde se ejecuta el programa viral%\%ficheros ejecutados%,Uninstall"

[HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/jsp/**********

Una vez contectado, extraer una lista suplementaria.
De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante una interrogacin HTTP GET en un script PHP.


Enva informaciones acerca de:
     Estado actual del programa viral
     Tiempo de trabajo del programa viral


Capabilidades de control remoto:
     Visitar un sitio web

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Monica Ghitun el viernes 6 de octubre de 2006
Descripción actualizada por Andrei Ivanes el viernes 27 de octubre de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.