Nombre:TR/PSW.Papras.JN
Descubierto:27/03/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:66.048 Bytes
Suma de control MD5:8c00c01185fd4cb20d8a91b307e7e39f
Versión del IVDF:7.01.02.228 - viernes 27 de marzo de 2009

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Infostealer.Snifula.C
   •  Kaspersky: Trojan-PSW.Win32.Papras.jn
   •  F-Secure: Trojan-PSW.Win32.Papras.jn
   •  Sophos: Troj/Zbot-BS
   •  Eset: Win32/PSW.Papras trojan
   •  Bitdefender: Trojan.Inject.UD


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\9129837.exe




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %WINDIR%\new_drv.sys
Empleado para ocultar el proceso en el Administrador de tareas. Detectado como: TR/Rootkit.Gen


– Ejecuta uno de los ficheros siguientes:
   • %directorio donde se ejecuta el programa viral%\abcdefg.bat
Este fichero batch es empleado para eliminar un fichero.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ttool"="%WINDIR%\\9129837.exe"



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\InetData]
   • "k1"=dword:%valores hex%
   • "k2"=dword:%valores hex%
   • "version"="5"

 Backdoor (Puerta trasera) Abre el siguiente puerto:
en un puerto TCP aleatorio para proporcionar capabilidades de backdoor.


Servidor contactado:
El siguiente:
   • http://91.207.61.**********/cgi-bin/cmd.cgi?user_id=%número%&version_id=5&passphrase=%serie de caracteres aleatorios%&socks=%puerto abierto%&version=&crc=00000000

De esta forma obtiene el control remoto.

Envía informaciones acerca de:
    • Hardware
    • Puerto abierto

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.

Descripción insertada por Andreas Feuerstein el miércoles 8 de abril de 2009
Descripción actualizada por Andreas Feuerstein el miércoles 8 de abril de 2009

Volver . . . .