Nombre:Worm/P2P.Agent.N
Descubierto:19/02/2008
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:1.470.464 Bytes
Suma de control MD5:b1a0bd24b09ccb213a4d961f53ff9d0F
Versión del VDF:7.00.02.153
Versión del IVDF:7.00.02.156 - martes 19 de febrero de 2008

 General Método de propagación:
   • Peer to Peer


Alias:
   •  Kaspersky: P2P-Worm.Win32.Archivarius.a
   •  F-Secure: P2P-Worm.Win32.Archivarius.a
   •  Sophos: Troj/Agent-GPY
   •  Panda: W32/Archivarius.A.worm
   •  Grisoft: Worm/Delf.HEE
   •  Eset: Win32/Archivarius.A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Suelta un fichero dañino
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\WinSecure.exe
   • %TEMPDIR%\Installer-Crack-Keygen.exe



Se copia a sí mismo en un archivo en las siguientes ubicaciones:
   • %TEMPDIR%\xx%número%
   • %TEMPDIR%\TEMP1.zip



Crea los siguientes ficheros:

– Fichero no malicioso:
   • %SYSDIR%\rar.exe

– Ficheros temporales, que pueden ser eliminados después:
   • %TEMPDIR%\xx%número%
   • %TEMPDIR%\TEMP1.zip

%TEMPDIR%\temp_01.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Delf.own

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • Windows Security Tool="WinSecure.exe"



Modifica las siguientes claves del registro:

– [HKLM\Software\Microsoft\RFC1156Agent\CurrentVersion\Parameters]
   Nuevo valor:
   • TrapPollTimeMilliSecs = 00003a98

– [HKLM\SOFTWARE\Licenses]
   Nuevo valor:
   • {K7C0DB872A3F777C0} = %valores hex%
   • {I29A5EA887C231048} = %valores hex%

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:   Extrae carpetas compartidas tras emplear las siguientes claves del registro:
   • [SOFTWARE\Kazaa\LocalContent\DownloadDir]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Desktop\LimeWire Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Desktop\Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\Shared]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\LimeWire\Shared]
   • [Software\Shareaza\Shareaza\Downloads\CompletePath]
   • [Software\Shareaza\Shareaza\Downloads\CollectionPath]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Local AppData\Ares\My Shared Folder]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData\Warez]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData\My Downloads]
   • [Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Personal\eDonkey2000 Downloads]

   Al tener éxito, crea los siguientes ficheros:
   • Nero 8 Ultra Edition 8.2.1.5 Keygen.rar; Adobe Photoshop CS3
      Keygenerator.rar; Windows XP Home-Professional Genuine Crack.rar;
      Microsoft Office 2008 Crack.rar; FlashGet Ver 1.9.6.1073.rar; Serif
      WebPlus v10.1.1.rar; NetLimiter 2 Pro v2.0.10.1.rar; ZoomPlayer WMV
      Professional v5.01.rar; Video Snapshots Genius v2.1.rar; Just Audio
      Management v3.0.38.rar; Image Cut v1.5.rar; ZeallSoft Music DVD Maker
      v2.2.rar; Winamp Pro v5.52.rar; TextAloud v2.268.rar; Panda Antivirus
      2008 + patcheado actualizado 02-08.rar; Caribbean Hideaway v1.0.rar;
      MasterCAM X2 v.11 SP1.rar; Digital Tutors Introduction To Photoshop
      CS3 2CD ISO.rar; PTC Pro Engineer Wildfire v.4 Graphics Library.rar;
      DiskWarrior v.4.1 rev42 Bootable CD Retail MAC.rar; RoketBox Disk1
      DVD.rar; WireShark University Training Course Bootcamp 02 TCP-IP.rar;
      The Print Shop Pro Publisher 22 Deluxe DVD.rar; Super DVD Creator
      9.rar; VirtualDJ 5.0.rar; X-NetStat Professional 5.5.rar; Boilsoft
      Video Splitter 5.01.rar; Roxio Easy Media Creator Suite 10.rar; Radmin
      Remote Administrator 3.0.rar; LimeWire Pro 4.17.0.rar; Network Magic
      Pro 4.2.7234.0.rar; Acronis Disk Director Suite 10.0.2160.rar; Super
      Internet TV Satellite 7.1.1.rar; Print Folder Pro 3.3.rar; Active
      Webcam 10.1.rar; WinAVI Video Converter 9.rar; Eset NOD32 Complete
      Software Collection 2008.rar; Folder Guard Pro 7.92.rar; Kaspersky
      Internet Security Anti-Virus 7.0.1.321 working KEY (02-08).rar; Winamp
      5.5.2 (funciona con el keygenerador de serial).rar; Movie Label 2008
      3.0.rar; Microsoft Exchange Server 2007.rar; ImTOO 3GP Video Converter
      3.1.23.rar; TuneUp Utilities 2008.rar; Vista Manager 1.4.rar; Sony
      Vegas Pro Studio 8 20071.rar; How to Cheat In Photoshop CS3
      Content.rar; NodLogin 8.0.rar; Smart Wedding 4.0.rar; FrostWire
      4.13.4, Like Limewire But Better.rar; Windows XP 2.0.rar; McAfee Total
      Protection Retail 2008 (con el serial funcionante).rar; BitDefender
      Internet Security (2008).rar; Alive YouTube Video Converter
      1.2.8.8.rar; Fraps Registered 2.9.2.rar; YouTube Get 4.2 (descarga
      videos da youtube ... mui bueno).rar; Microsoft Office Professional
      2007 (con el keygenerador que funciona).rar; UnHackMe 4.9.rar;
      Seepassword 2.055.rar; CloneDVD Mobile 1.1.6.15.rar; AnyDVD HD 6.3.1.5
      (graba dvd funcionante).rar; DVDFab Platinum 4.0.5.55.rar; 8 Start
      Launcher.rar; Windows Media Player 11 con patcheada actualizada
      2008.rar

   El archivo contiene una copia del programa malicioso.



La carpeta compartida puede verse así:


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Ana Maria Niculescu el viernes 11 de abril de 2008
Descripción actualizada por Andrei Gherman el viernes 18 de abril de 2008

Volver . . . .