Nombre:TR/Small.DBY.AF.3
Descubierto:14/02/2007
Tipo:Troyano
Subtipo:SPY
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:37.747 Bytes
Suma de control MD5:8617ab4e033c0853cf1766de30cf6589
Versión del VDF:6.37.01.91
Versión del IVDF:6.37.01.92 - miércoles 14 de febrero de 2007

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Email-Worm.Win32.Zhelatin.ab
   •  Eset: Win32/Nuwar.gen worm
   •  Bitdefender: Trojan.Peed.ET


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros

 Ficheros Crea los siguientes ficheros:

– Fichero no malicioso:
   • %SYSDIR%\wincom32.ini

%SYSDIR%\wincom32.sys Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Small.DBY.M.1

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– HKLM\System\CurrentControlSet\Services\wincom32\ImagePath
   • "\??\%SYSDIR%\wincom32.sys"

 Infección en la red Creación de direcciones IP:
Crea direcciones IP aleatorias e intenta establecer una conexión con dichas IPs.

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: wincom32.sys

    Nombre del proceso:
   • %SYSDIR%\services.exe


 Tecnología Rootkit Oculta las siguientes:
– Sus propios ficheros
– Su propia clave del registro


Método empleado:
    • Oculto en Windows API

Engancha las siguientes funciones API:
   • ZwQueryDirectoryFile
   • ZwEnumerateKey
   • ZwEnumerateValueKey

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PEPACK

Descripción insertada por Viktor Graeber el miércoles 25 de abril de 2007
Descripción actualizada por Viktor Graeber el viernes 27 de abril de 2007

Volver . . . .