Nombre:TR/PSW.Small.bs
Descubierto:08/01/2007
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:19.240 Bytes
Suma de control MD5:73dc2446341699857aaf39489508f7d7
Versión del VDF:6.36.00.023
Versión del IVDF:6.36.00.033

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: FormSpy
   •  Kaspersky: Trojan-PSW.Win32.Small.bs
   •  Sophos: Mal/Behav-044
   •  Grisoft: PSW.Generic2.REJ
   •  Eset: Win32/PSW.Small.NAD
   •  Bitdefender: Generic.Malware.SBg.56DBD99F


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Suelta un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\9129837.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%directorio donde se ejecuta el programa viral%\a.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%WINDIR%\hide_evr2.sys Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/PSW.Small.bs.SYS

 Registro La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\9129837.EXE"



Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000000
     "ImagePath"="\??\%WINDIR%\hide_evr2.sys"
     "DisplayName"="!!!!"

– [HKLM\SYSTEM\CurrentControlSet\Services\hide_evr2\Enum]
   • "0"="Root\\LEGACY_HIDE_EVR2\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=%número hexadecimal%
   • "k2"=%número hexadecimal%



Modifica la siguiente clave del registro:

Desactiva el cortafuego de Windows:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Valor anterior:
   • "Start"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start"=dword:00000004

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%WINDIR%\9129837.exe en un puerto TCP aleatorio para funcionar como servidor proxy Socks 4,


Servidor contactado:
Las siguientes:
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********
   • http://81.95.147.107/cgi-bin/**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.


Envía informaciones acerca de:
    • Contraseñas guardadas
    • Estado actual del programa viral
    • Puerto abierto
    • Las informaciones recolectadas, descritas en la sección
    • Nombre de usuario
    • URL visitada


Capabilidades de control remoto:
    • Cargar fichero en Internet

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • %cualquier sitio web que contiene un formulario de
      autentificación%

– Captura:
    • Informaciones para iniciar sesión

 Informaciones diversas Conexión a Internet:

Hace interrogaciones para los siguientes nombres:
   • mc-in-f99.google.com
   • ip-147-107.rbnnetwork.com

 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Su propio proceso

– Los siguientes ficheros:
   • %WINDIR%\9129837.exe
   • %WINDIR%\hide_evr2.sys

– El siguiente valor del registro:
   • ttool


Método empleado:
    • Oculto en Windows API

Engancha las siguientes funciones API:
   • NtEnumerateValueKey/ZwEnumerateValueKey
   • NtQueryDirectoryFile/ZwQueryDirectoryFile
   • NtQuerySystemInformation/RtIGetNativeSystemInformation/ZqQuerySystemInformation

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Monica Ghitun el lunes 8 de enero de 2007
Descripción actualizada por Monica Ghitun el martes 9 de enero de 2007

Volver . . . .