Nombre:BDS/Glecia.D
Descubierto:20/10/2009
Tipo:Servidor Backdoor
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:61.440 Bytes
Suma de control MD5:3b2064e0b51f242d1955cb402653201c
Versión del IVDF:7.01.06.126 - martes 20 de octubre de 2009

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Packed.Win32.Krap.x
   •  F-Secure: Packed.Win32.Krap.x
   •  Eset: Win32/Kryptik.AWF


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros %SYSDIR%\sys.dat Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Glecia.A

%SYSDIR%\bhdvgtueyitf.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Glecia.A

– c:\%directorio donde se ejecuta el programa viral%\sys.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade las siguientes claves al registro:

– [HKCR\CLSID\{%CLSID%}]
   • "(Default)"="Microsoft Online Helper!"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{%CLSID%}]
   • "(Default)"="Microsoft Online Helper!"

– [HKCR\CLSID\{%CLSID%}\InProcServer32]
   • "(Default)"=hex(2):%valores hex%
   • "ThreadingModel"="Apartment"



Modifica la siguiente clave del registro:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • ^%\E$@@
   • n%^a&^()%b
   • (^$%l%(^%$e(^& ^%\
   • $%r$$^%o$
   • (%w@$%
   • $s%^^%$e%^(()(*& %
   • E*&^&x$(%%t%$
   • $@e^^%@(n
   • $%s))
   • %i*^o$%$^$^n(&*s(%^&="yes"

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.


Asunto:
El siguiente:
   • DHL service. Please get your parcel. Delivery NR.163400



El cuerpo del mensaje:
El cuerpo del mensaje de correo es uno de los siguientes:
   • Hello!
   •
   • The courier company was not able to deliver your parcel by your address.
   • Cause: Error in shipping address.
   •
   • You may pickup the parcel at our post office personaly!
   •
   • Please note!
   • The shipping label is attached to this e-mail.
   • Please print this label to get this package at our post office.
   •
   •
   • Thank you for attention.
   • DHL Global Forwarding Services.


Archivo adjunto:
El nombre del fichero adjunto es:
   • DHL_package_label_6f1aa.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve así:


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Tobias Gruber el martes 20 de octubre de 2009
Descripción actualizada por Philipp Wolf el martes 20 de octubre de 2009

Volver . . . .