Nombre:TR/Drop.Agent.avam
Descubierto:26/10/2009
Tipo:Troyano
Subtipo:Dropper
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:745.472 Bytes
Suma de control MD5:0C59eadc2628f66819ee0F76f5eeb910
Versión del IVDF:7.01.04.220 - sábado 11 de julio de 2009

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan.Win32.Obfuscated.whl
   •  Sophos: W32/IRCBot-ADJ
   •  Panda: Bck/Mircbased.BT
   •  Eset: IRC/Cloner.BX trojan
   •  Bitdefender: Trojan.AgentMB.ITGL3168337


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %PROGRAM FILES%\Microsoft Office\OFFICE11\ WINWORD.EXE
   • %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe
   • %Start Menu%\Programs\Startup\Adobe Gamma Loader.com



Crea la siguiente carpeta:
   • %PROGRAM FILES%\Microsoft Office\OFFICE11



Crea los siguientes ficheros:

%PROGRAM FILES%\Microsoft Office\OFFICE11\Drvics32.dll Contiene parámetros empleados por el programa malicioso.
%PROGRAM FILES%\Microsoft Office\OFFICE11\hjwgsd.dll Contiene parámetros empleados por el programa malicioso.
%PROGRAM FILES%\Microsoft Office\OFFICE11\jwiegh.dll Contiene parámetros empleados por el programa malicioso.
%PROGRAM FILES%\Microsoft Office\OFFICE11\remote.ini Contiene parámetros empleados por el programa malicioso.
%PROGRAM FILES%\Microsoft Office\OFFICE11\ruimsbbe.dll Contiene parámetros empleados por el programa malicioso.
%PROGRAM FILES%\Microsoft Office\OFFICE11\control.ini Contiene parámetros empleados por el programa malicioso.
%PROGRAM FILES%\Microsoft Office\OFFICE11\PUB60SP.mrc Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/IrcBot.7385.A

%PROGRAM FILES%\Microsoft Office\OFFICE11\yofc.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: IRC/Zapchast.YF

%PROGRAM FILES%\Microsoft Office\OFFICE11\smss.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.576628.2

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe, %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe"



Elimina del registro de Windows los valores de la siguiente clave:

–  [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings]
   • "ProxyServer"
   • "ProxyOverride"
   • "AutoConfigURL"

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   %all registry keys%]
–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   %all registry keys%]


Añade las siguientes claves al registro:

– [HKCR\exefile]
   • "NeverShowExt"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Acha.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\registry.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AmyMastura.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\csrsz.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\SMSSS.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\lsasc.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\BabyRina.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Security Center\Svc]
   • "AntiVirusDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "FirstRunDisabled"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:00000000



Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "ShowSuperHidden"="0x0"
   • "SuperHidden"="0x0"

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Nuevo valor:
   • "CheckedValue"=dword:00000000
   • "UncheckedValue"=dword:00000000
   • "DefaultValue"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Nuevo valor:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "FirstRunDisabled"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Nuevo valor:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Nuevo valor:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\WinDefend]
   Nuevo valor:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: irc.dal.net
Puerto: 6667
Apodo: Gold_girXls

 Informaciones diversas  Para buscar una conexión a Internet, contacta los siguientes sitios web:
   • www.tourism.gov.my
   • www.miti.gov.my
   • www.putera.com

 Tecnología Rootkit Oculta las siguientes:
– Sus propios ficheros

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Raluca Georgescu el lunes 26 de octubre de 2009
Descripción actualizada por Andrei Ivanes el martes 27 de octubre de 2009

Volver . . . .