Nombre:TR/Oficla.AA
Descubierto:07/07/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:34.816 Bytes
Suma de control MD5:ee97199dec81e92d2a1013c827afd5bc
Versión del IVDF:7.10.09.29 - miércoles 7 de julio de 2010

 General Método de propagación:
   • Correo electrónico


Plataformas / Sistemas operativos:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %TEMPDIR%\svchost.exe



Crea los siguientes ficheros:

%TEMPDIR%\tmpf5c96f2a.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
– %HOME%\Application Data\Voutt\ifzap.exe
– %HOME%\Application Data\Fipizy\poyr.imx
%temporary internet files%\Content.IE5\89ATUD5F\boom[1].jpg
%temporary internet files%\Content.IE5\89ATUD5F\google[1].htm
%temporary internet files%\Content.IE5\89ATUD5F\webhp[1].htm
%temporary internet files%\Content.IE5\89ATUD5F\webstat[1].htm
– %HOME%\Application Data\Beepoh\erar.exe



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://www.um**********oom5.gif
El fichero está guardado en el disco duro en: %TEMPDIR%\system.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"



La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "{B579423A-2522-DBB3-1CB3-9B491420520F}"="\"C:\\Documents and Settings\\makrorechner\\Application Data\\Beepoh\\erar.exe\""



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe"="C:\\DOCUME~1\\MAKROR~1\\LOCALS~1\\Temp\\svchost.exe:*:Enabled:svchost.exe"
   • 



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\Ikcie]
   • %valores hex%

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


De:
La dirección del remitente es falsa.


Asunto:
El siguiente:
   • DHL Tracking Number



El cuerpo del mensaje:
El cuerpo del mensaje es el siguiente:

   • Hello!
     
     The courier company was not able to deliver your parcel by your address.
     
     You may pickup the parcel at our post office personaly.
     
     The shipping label is attached to this e-mail.
     Please print this label to get this package at our post office.
     
     Thank you for attention.
     DHL Delivery Services.


Archivo adjunto:
El nombre del fichero adjunto es:
   • DHL_INVOICE23.zip

El adjunto es un archivo que contiene una copia del programa viral.



El mensaje de correo se ve así:


 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • explorer.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Patrick Schoenherr el miércoles 7 de julio de 2010
Descripción actualizada por Patrick Schoenherr el miércoles 7 de julio de 2010

Volver . . . .