Nombre:TR/Oficla.W.1
Descubierto:14/07/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:862528 Bytes
Suma de control MD5:41B2DBB997CE5FF443DD5594EB6BCFF2
Versión del IVDF:7.10.09.86 - miércoles 14 de julio de 2010

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  F-Secure: Trojan-Downloader:W32/Oficla.GX
   •  Sophos: Mal/FakeAV-BW


Plataformas / Sistemas operativos:
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros  Se copia a sí mismo al siguiente lugar. Este archivo tiene un número indeterminado de bytes adjuntos, de forma que puede ser distinto al original:
   • %SYSDIR%\svrwsc.exe



Crea el siguiente fichero:

– Fichero no malicioso:
   • %WINDIR%\Debug\UserMode\userenv.log

 Registro Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=hex(2):%valores hex%
   • "DisplayName"="Windows Security Center Service"
   • "ObjectName"="LocalSystem"
   • "Description"="The service provides COM APIs for independent software vendors to register and record the state of their products to the Security Center service."
   •

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Security]
   • "Security"=hex:%valores hex%



Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\SvrWsc\Enum]
   • "0"="Root\LEGACY_SVRWSC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000]
   • "Service"="SvrWsc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Windows Security Center Service"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVRWSC\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\DirectX\MSA]
   • "ver"=hex(b):cd,a2,c7,01,38,6b,01,d1
   • "X1"=hex:%valores hex%

– [HKLM\SOFTWARE\Microsoft\DirectX\MSB]
   • "X1"=hex:00,00,00,00

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • m**********ng.ru/music/forum/index1.php

Además, rehace la conexión periódicamente. Esto se realiza mediante el método HTTP POST, empleando un script PHP.

Descripción insertada por Patrick Schoenherr el miércoles 14 de julio de 2010
Descripción actualizada por Patrick Schoenherr el miércoles 14 de julio de 2010

Volver . . . .