Nombre:TR/SpamBot.E
Descubierto:19/07/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:55.808 Bytes
Suma de control MD5:64ce27a4edc375f5dcb68b8641738f34
Versión del IVDF:7.10.09.151 - miércoles 21 de julio de 2010

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Spam-Mailbot.m
   •  Sophos: Mal/FakeAV-CZ
   •  Microsoft: Spammer:Win32/Tedroo
   •  Panda: Bck/Bredolab.AZ
   •  DrWeb: Trojan.Spambot.6788


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Modificaciones en el registro
   • Contiene su propio motor para generar mensajes de correo

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

– [HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "userini"="%WINDIR%\explorer.exe:userini.exe"

Varias opciones de configuración en Explorer:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Nuevo valor:
   • "id"="F15ECF88A2EC"
   • "remove"="%ficheros ejecutados%"

 Correo electrónico Contiene un motor SMTP integrado para enviar correo no solicitado (spam). Establece una conexión directa con el servidor de destinación. Sus características están descritas a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones generadas


Asunto:
El siguiente:
   • %dirección de correo del destinatario% VIAGRA ® Official Site
      -45%



El cuerpo del mensaje:
– Contiene código HTML.



El mensaje de correo se ve así:


 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://19**********3.62/82567/kelly.php

De esta forma obtiene el control remoto. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Capabilidades de control remoto:
    • Enviar mensajes de correo
    • relacionado al spam

Descripción insertada por Patrick Schoenherr el jueves 22 de julio de 2010
Descripción actualizada por Patrick Schoenherr el jueves 22 de julio de 2010

Volver . . . .