Nombre:TR/Vilsel.iop
Descubierto:15/10/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:21.504 Bytes
Suma de control MD5:7d96ce7f588613f0343049918de70665
Versión del IVDF:7.01.06.111 - jueves 15 de octubre de 2009

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: FakeAlert-AB.dldr
   •  Kaspersky: Trojan.Win32.Vilsel.iop
   •  F-Secure: Trojan-Downloader:W32/Fakerean.Y
   •  Eset: Win32/Kryptik.AUZ
   •  Bitdefender: Trojan.Downloader.FakeAlert.DH

Detección similar:
   •  TR/Vilsel.ioq


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
Falsley reports malware infection or system proble (es)


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://tsarbunerkadosa.com/x**********
El fichero está guardado en el disco duro en: %home%\Application Data\lizkavd.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Crypt.XPACK.Gen

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • mserv="%home%\Application Data\seres.exe"
   • svchost="%home%\Application Data\svcst.exe"



Modifica las siguientes claves del registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Nuevo valor:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Reduce las opciones de seguridad de Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Valor anterior:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Nuevo valor:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.


Asunto:
El siguiente:
   • A new settings file %dirección de correo del destinatario% has
      just been released



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • Dear user of the %dominio de los destinatarios% mailing service!
     
     We are informing you that because of the security upgrade of the mailing
     service your mailbox %dirección de correo del destinatario% settings were changed. In order to
     apply the new set of settings open zip attached file.
     
     Best regards, %dominio de los destinatarios% Technical Support.


Archivo adjunto:
El nombre del fichero adjunto es:
   • install.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve así:


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Thomas Wegele el jueves 15 de octubre de 2009
Descripción actualizada por Thomas Wegele el jueves 15 de octubre de 2009

Volver . . . .