Nombre:TR/Dldr.FraudLo.sxm
Descubierto:13/07/2009
Tipo:Riesgo de seguridad-confidencialidad
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Fichero estático:No
Versión del VDF:7.01.04.223

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.FraudLoad.wner
   •  F-Secure: Trojan-Downloader.Win32.FraudLoad.wner
   •  Eset: Win32/Kryptik.AAL


Plataforma / Sistema operativo:
   • Windows XP


Efectos secundarios:
   • Descarga ficheros dañinos
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:




 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %program files%\HomeAntivirus2010\Uninstall.exe



Crea los siguientes ficheros:

– Ficheros no maliciosos:
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcm80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcp80.dll
   • %program files%\HomeAntivirus2010\Microsoft.VC80.CRT\msvcr80.dll
   • %program files%\HomeAntivirus2010\data\daily.cvd
   • %program files%\HomeAntivirus2010\pthreadVC2.dll
   • %program files%\HomeAntivirus2010\htmlayout.dll
   • %directorio escogido de forma aleatoria%\%palabras aleatorias%

– Ficheros temporales, que pueden ser eliminados después:
   • %tempdir%\prm%número%
   • %tempdir%\wr%número%
   • %tempdir%\clamav-%32 random hexa numbers%\daily.db
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.hdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.wdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.pdb
   • %tempdir%\clamav-%32 random hexa numbers%\daily.cfg
   • %tempdir%\clamav-%32 random hexa numbers%\daily.fp
   • %tempdir%\clamav-%32 random hexa numbers%\daily.zmd
   • %tempdir%\clamav-%32 random hexa numbers%\daily.mdu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.ndu
   • %tempdir%\clamav-%32 random hexa numbers%\daily.info

– %program files%\HomeAntivirus2010\HomeAntivirus2010.exe Además, el fichero es ejecutado después de haber sido creado. Detectado como: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\AVEngn.dll Detectado como: TR/Dldr.FraudLo.sxm

– %program files%\HomeAntivirus2010\wscui.cpl Detectado como: TR/Dldr.FraudLo.sxm

– %systemdir%\_scui.cpl Detectado como: TR/Dldr.FraudLo.sxm




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://user:@bugermanosatora.com/files/ha21/Binaries1.cab
El fichero está guardado en el disco duro en: %temporary internet files%

– La dirección es la siguiente:
   • http://user:************@bugermanosatora.com/files/BinariesAVE.cab
El fichero está guardado en el disco duro en: %temporary internet files%

– La dirección es la siguiente:
   • http://user:************@bugermanosatora.com/files/BinariesAdd.cab
El fichero está guardado en el disco duro en: %temporary internet files%

– La dirección es la siguiente:
   • http://user:************@bugermanosatora.com/files/ha21/BinariesGUI.cab
El fichero está guardado en el disco duro en: %temporary internet files%

– La dirección es la siguiente:
   • http://user:************@bugermanosatora.com/files/BinariesSC.cab
El fichero está guardado en el disco duro en: %temporary internet files%

– La dirección es la siguiente:
   • http://user:************@bugermanosatora.com/files/BinariesUpd.cab
El fichero está guardado en el disco duro en: %temporary internet files%

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Home Antivirus 2010"="\"%PROGRAM FILES%\HomeAntivirus2010\HomeAntivirus2010.exe\" /hide"



Añade las siguientes claves al registro:

– [HKCU\Control Panel\don't load]
   • "scui.cpl"="No"
   • "wscui.cpl"="No"

– [HKLM\SOFTWARE\HomeAntivirus2010]
   • "info"="%fecha actual%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   HomeAntivirus2010]
   • "DisplayName"="Home Antivirus 2010"
   • "UninstallString"="%PROGRAM FILES%\HomeAntivirus2010\Uninstall.exe"

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "FirewallDisableNotify"=dword:00000000
   Nuevo valor:
   • "FirewallDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "UpdatesDisableNotify"=dword:00000000
   Nuevo valor:
   • "UpdatesDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "AntiVirusDisableNotify"=dword:00000000
   Nuevo valor:
   • "AntiVirusDisableNotify"=dword:00000001

Descripción insertada por Mihai Dilimot el lunes 10 de agosto de 2009
Descripción actualizada por Mihai Dilimot el martes 11 de agosto de 2009

Volver . . . .