Nombre:TR/Vilsel.ior
Descubierto:20/10/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:44.544 Bytes
Suma de control MD5:e6bc86359946024ea7547ae8e9915e61
Versión del IVDF:7.01.06.127 - martes 20 de octubre de 2009

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Packed.Win32.Krap.ah
   •  F-Secure: Trojan-Downloader:W32/Fakerean.AG
   •  Eset: Win32/Kryptik.AVJ
   •  Bitdefender: Trojan.FakeAV.VC


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
Falsley reports malware infection or system proble (es)


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %home%\Application Data\seres.exe
   • %home%\Application Data\svcst.exe




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://ertanue5skayert.com/**********M
El fichero está guardado en el disco duro en: %home%\Application Data\lizkavd.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.FraudLo.osj

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "mserv"="%home%\Application Data\seres.exe"
   • "svchost"="%home%\Application Data\svcst.exe"



Modifica las siguientes claves del registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Nuevo valor:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

Reduce las opciones de seguridad de Internet Explorer:
– [HKCU\Software\Microsoft\Internet Explorer\Download]
   Valor anterior:
   • "CheckExeSignatures"="yes"
   • "RunInvalidSignatures"=dword:00000000
   Nuevo valor:
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.


Asunto:
El siguiente:
   • Conflicker.B Infection Alert



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • Dear Microsoft Customer,
     
     Starting 18/10/2009 the 'Conficker' worm began infecting Microsoft customers unusually rapidly. Microsoft has been advised by your Internet provider that your network is infected.
     
     To counteract further spread we advise removing the infection using an antispyware program. We are supplying all effected Windows Users with a free system scan in order to clean any files infected by the virus.
     
     Please install attached file to start the scan. The process takes under a minute and will prevent your files from being compromised. We appreciate your prompt cooperation.
     
     Regards,
     Microsoft Windows Agent
     2 (Hollis)
     Microsoft Windows Computer Safety Division


Archivo adjunto:
El nombre del fichero adjunto es:
   • install.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve así:


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Thomas Wegele el martes 20 de octubre de 2009
Descripción actualizada por Philipp Wolf el martes 20 de octubre de 2009

Volver . . . .