Nombre:TR/Click.AU
Descubierto:28/09/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:11.109 Bytes
Suma de control MD5:e87f0271ce34b9f9491b6fd95c2e14a4
Versión del VDF:6.36.00.60
Versión del IVDF:6.36.00.73 - lunes 2 de octubre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Downloader-AYN
   •  Kaspersky: Trojan-Downloader.Win32.Nurech.c
   •  TrendMicro: PAK_Generic.002
   •  F-Secure: W32/Small.DUU
   •  Sophos: Troj/Dloadr-ANX
   •  Eset: Win32/TrojanDownloader.Agent.NHA


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\upnp.exe




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.zxcvz.com/**********
El fichero está guardado en el disco duro en: %temporary internet files%\Content.IE5\%directorio escogido de forma aleatoria%\c.php Además, este fichero es ejecutado después de haber sido completamente descargado. Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "np"="%SYSDIR%\upnp.exe"



Añade las siguientes claves al registro:

– [HKCU\Software\unker]
– [HKCU\Software\unker\%ficheros ejecutados%]
– [HKCU\Software\unker\%ficheros ejecutados%\main]
   • "cid"=%valores hex%

– [HKCU\Software\unker\upnp]
– [HKCU\Software\unker\upnp\main]
   • "cid"=%valores hex%

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • http://www.zxcvz.com/**********

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Envía informaciones acerca de:
    • Estado actual del programa viral

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • ewffefewfwjioIJOJIojioerjiogryivctyxrtio

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG

Descripción insertada por Monica Ghitun el jueves 28 de septiembre de 2006
Descripción actualizada por Adriana Popa el viernes 17 de noviembre de 2006

Volver . . . .