Nombre:TR/PSW.Bedruger.2
Descubierto:27/06/2005
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:23.184 Bytes
Suma de control MD5:b49d3526ce011d76063d8081333a9ef4
Versión del VDF:6.31.00.112

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: PWS-MMThief
   •  Kaspersky: Trojan-Spy.Win32.Agent.ei
   •  Sophos: Trojan-Spy.Win32.Agent.ei
   •  VirusBuster: trojan TrojanSpy.Agent.QJV
   •  Bitdefender: Trojan.Spy.Agent.EI


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\SVCH0ST.EXE



Elimina la copia inicial del virus.



Crea el siguiente fichero:

– Fichero no malicioso:
   • %SYSDIR%\mmdat.dat

%SYSDIR%\ntdll32.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Agent.GD

 Registro La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
   • "SVCHOST"="%SYSDIR%\SVCH0ST.EXE"



Modifica la siguiente clave del registro:

– [HKCR\exefile\shell\open\command]
   Valor anterior:
   • @="\"%1\" %*"
   Nuevo valor:
   • @="%SYSDIR%\SVCH0ST.EXE %1 %*"

 Correo electrónico No tiene rutina propia de propagación, pero puede enviar mensajes de correo. Lo más probable es que el destinatario sea el autor del virus. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.
El remitente del mensaje de correo es el siguiente:
   • mimathief@mimathief.com


Para:
El destinatario del mensaje es el siguiente:
   • vicimax@163.com


Asunto:
El siguiente:
   • %texto chino%



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • %texto chino%: %informaciones robadas%
     %sitio web visitado%
     %texto chino%: %informaciones robadas%
     %texto chino%: %informaciones robadas%



El mensaje de correo se ve así:


 Envio de mensajes Servidor MX:
No emplea el servidor MX implícito.
Puede conectarse al servidor MX:
   • 163.com

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • %cualquier sitio web que contiene un formulario de
      autentificación%

– Captura:
    • Información de la ventana
    • Ventana del navegador
    • Informaciones para iniciar sesión

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\ntdll32.dll

    Nombre del proceso:
   • %todos los procesos activos%


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • MimaThief

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PEcompact

Descripción insertada por Gabriel Mustata el viernes 10 de noviembre de 2006
Descripción actualizada por Gabriel Mustata el jueves 16 de noviembre de 2006

Volver . . . .