Nombre:ADSPY/Boran.O.2
Descubierto:05/10/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:40.960 Bytes
Suma de control MD5:1f4b04a85768205ae5452415dc843e3d
Versión del VDF:6.35.01.196
Versión del IVDF:6.35.01.200 - viernes 8 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Eset: Win32/Adware.Boran


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Modificaciones en el registro
   • Emplea vulnerabilidades de software

 Ficheros Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www.update.borlander.cn/updadini/**********
El fichero está guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\updadini.ini Además, este fichero es ejecutado después de haber sido completamente descargado. Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

– La dirección es la siguiente:
   • http://www.update.borlander.cn/updstd/**********
El fichero está guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\updstdex.ini Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
   • http://www.update.borlander.cn/updstd/**********
El fichero está guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\updstdup.ini Además, este fichero es ejecutado después de haber sido completamente descargado. Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Registra un objeto BHO (browser helper object), añadiendo la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"



Añade las siguientes claves al registro:

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\InprocServer32]
   • @="%SYSDIR%\stdup.dll"
   • "ThreadingModel"="Apartment"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\ProgID]
   • @="Ad.AxObj.1"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\Programmable]
– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}\
   VersionIndependentProgID]
   • @="Ad.AxObj"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0]
   • @="Ad 1.0 Type Library"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\0\win32]
   • @="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\FLAGS]
   • @="0"

– [HKCR\TypeLib\{22F87D75-7DD1-4545-94B3-CA80C0F462C6}\1.0\HELPDIR]
   • @="%malware execution directoy%"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}]
   • @="IAxObj"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\
   ProxyStubClsid32]
   • @="{00020424-0000-0000-C000-000000000046}"

– [HKCR\Interface\{AB45CE36-C280-4525-BCF9-1BD01D3E4B57}\TypeLib]
   • @="{22F87D75-7DD1-4545-94B3-CA80C0F462C6}"
   • "Version"="1.0"

– [HKCR\Ad.AxObj]
   • @="stdup"

– [HKCR\Ad.AxObj\CLSID]
   • @="{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}"

– [HKCR\Ad.AxObj\CurVer]
   • @="Ad.AxObj.1"

– [HKLM\SOFTWARE\Stdup]
   • "stdup"="3.2.1.8"
   • "regup"="01c6e9b74e600380"
   • "pid"="30574EFA8247A1B90B30060F409F5F5B"
   • "reg"="30574EFA8247A1B90B30060F409F5F5B"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • "DisplayName"="WinStdup"
   • "UninstallString"="%SYSDIR%\rundll32.exe %directorio donde se ejecuta el programa viral%\%ficheros ejecutados%,Uninstall"

– [HKCR\CLSID\{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}]
   • @="stdup"

– [HKLM\SOFTWARE\Stdup\up]
   • "3.2.1.8"="1"

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/**********
   • http://www.borlander.com.cn/jsp/**********

Una vez contectado, extraerá una lista suplementaria.
De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Envía informaciones acerca de:
    • Estado actual del programa viral
    • Tiempo de trabajo del programa viral


Capabilidades de control remoto:
    • Visitar un sitio web

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Monica Ghitun el viernes 6 de octubre de 2006
Descripción actualizada por Andrei Ivanes el viernes 27 de octubre de 2006

Volver . . . .