Descripción completa

Nombre:	TR/Click.awyu.98816
Descubierto:	20/05/2010
Tipo:	Troyano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio-bajo
Potencial de propagación:	Medio
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	439.808 Bytes
Suma de control MD5:	de8628c816e0fe9bb6037713f65411b5
Versión del IVDF:	7.10.07.148 - jueves 20 de mayo de 2010

General Métodos de propagación:
   • Correo electrónico
   • Peer to Peer

Alias:
   • Sophos: Troj/JSRedir-CC
   • Bitdefender: Rootkit.36329
   • Panda: W32/P2PShared.U
   • Eset: Win32/Merond.O

Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Reduce las opciones de seguridad
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\AdobeARMI.exe

Elimina el siguiente fichero:
   • %SYSDIR%\adobereader.exe

Crea los siguientes ficheros:

– %PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul Los análisis adicionales indicaron que este fichero es también viral. Detectado como: JS/Dursg.G

– %PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
– %HOME%\Application Data\SystemProc\lsass.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Buzus.ecqp

– %SYSDIR%\adobereader.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Buzus.ecqp

– %PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://controllqz.com/**********?aid=%cadena de caracteres%

– La dirección es la siguiente:
   • http://oxoblaster.com/**********?pop=%número%&aid&sid&key

– La dirección es la siguiente:
   • http://tetrosearch.com/**********?aid&ver

– Las direcciones son las siguientes:
   • http://simfreebox.com/**********?sd=%cadena de caracteres%&aid=%cadena de caracteres%
   • http://position7.com/**********?sd=%cadena de caracteres%&aid=%cadena de caracteres%
   • http://rtsmor.com/**********?sd=%cadena de caracteres%&aid=%cadena de caracteres%
   • http://qulino.com/**********?sd=%cadena de caracteres%&aid=%cadena de caracteres%

Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\adobereader.exe"

– Ejecuta uno de los ficheros siguientes:
   • "%HOME%\Application Data\SystemProc\lsass.exe"

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Adobe Reader Updater6"="%SYSDIR%\AdobeARMI.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "RTHDBPL"="%HOME%\Application Data\SystemProc\lsass.exe"

Elimina del registro de Windows los valores de las siguientes claves:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui

– [HKCU\Identities]
   • First Start
   • KillSelf
   • Send Inst

Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\AdobeARMI.exe"="%SYSDIR%\AdobeARMI.exe:*:Enabled:Explorer"

Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "adobe076"="07"
   • "adobe086"="30"

– [HKCU\Identities]
   • "Curr version"="25"
   • "Inst Date"="%fecha actual%"
   • "Last Date"="%fecha actual%"
   • "Popup count"="0"
   • "Popup date"="0"
   • "Popup time"="0"

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:

De:
La dirección del remitente es falsa.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)

Asunto:
Uno de los siguientes:
   • Cindy would like to be your friend on hi5!
   • Shipping update for your Amazon.com order
   • Thank you from Google!
   • You have got a new message on Facebook!
   • You have received A Hallmark E-Card!
   • Your friend invited you to Twitter!

El cuerpo del mensaje:
– Contiene código HTML.

Archivo adjunto:

Algunos ejemplos de nombres de los ficheros adjuntos:
   • Facebook message.zip
   • Invitation Card.zip
   • Postcard.zip
   • Shipping documents.zip

El adjunto es un archivo que contiene una copia del programa viral.

P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones: Busca los siguientes directorios:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   Al tener éxito, crea los siguientes ficheros:
   • YouTubeGet 5.6.exe; Youtube Music Downloader 1.3.exe; WinRAR v3.x
      keygen [by HiXem].exe; Windows2008 keygen and activator.exe; [+ MrKey
      +] Windows XP PRO Corp SP3 valid-key generator.exe; Windows Password
      Cracker + Elar3 key.exe; [Eni0j0 team] Windows 7 Ultimate keygen.exe;
      Windows 2008 Enterprise Server VMWare Virtual Machine.exe;
      Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe; Website Hacker.exe;
      [Eni0j0 team] Vmvare keygen.exe; VmWare 7.x keygen.exe; UT 2003
      KeyGen.exe; Twitter FriendAdder 2.3.9.exe; Tuneup Ultilities 2010.exe;
      [antihack tool] Trojan Killer v2.9.4173.exe; Total Commander7
      license+keygen.exe; Super Utilities Pro 2009 11.0.exe; Sub7 2.5.1
      Private.exe; Sophos antivirus updater bypass.exe; sdbot with NetBIOS
      Spread.exe; [fixed]RapidShare Killer AIO 2010.exe; Rapidshare Auto
      Downloader 3.8.6.exe; Power ISO v4.4 + keygen milon.exe; [patched,
      serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe;
      [patched, serial not needed] PDF to Word Converter 3.4.exe; PDF
      password remover (works with all acrobat reader).exe; Password
      Cracker.exe; Norton Internet Security 2010 crack.exe; Norton
      Anti-Virus 2010 Enterprise Crack.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; NetBIOS Hacker.exe; NetBIOS Cracker.exe;
      [patched, serial not need] Nero 9.x keygen.exe; Myspace theme
      collection.exe; MSN Password Cracker.exe; Mp3 Splitter and Joiner Pro
      v3.48.exe; Motorola, nokia, ericsson mobil phone tools.exe;
      Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe; Microsoft
      Visual Studio KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Microsoft
      Visual Basic KeyGen.exe; McAfee Total Protection 2010 [serial patch by
      AnalGin].exe; Magic Video Converter 8.exe; LimeWire Pro v4.18.3
      [Cracked by AnalGin].exe; L0pht 4.0 Windows Password Cracker.exe;
      K-Lite Mega Codec v5.2 Portable.exe; K-Lite Mega Codec v5.2.exe;
      Keylogger unique builder.exe; Kaspersky Internet Security 2010
      keygen.exe; Kaspersky AntiVirus 2010 crack.exe; IP Nuker.exe; Internet
      Download Manager V5.exe; Image Size Reducer Pro v1.0.1.exe; ICQ Hacker
      Trial version [brute].exe; Hotmail Hacker [Brute method].exe; Hotmail
      Cracker [Brute method].exe; Half-Life 2 Downloader.exe; Grand Theft
      Auto IV [Offline Activation + mouse patch].exe; Google SketchUp 7.1
      Pro.exe; G-Force Platinum v3.7.6.exe; FTP Cracker.exe; DVD Tools Nero
      10.x.x.x.exe; Download Boost 2.0.exe; Download Accelerator Plus
      v9.2.exe; Divx Pro 7.x version Keymaker.exe; DivX 5.x Pro KeyGen
      generator.exe; DCOM Exploit archive.exe; Daemon Tools Pro 4.8.exe;
      Counter-Strike Serial key generator [Miona patch].exe; CleanMyPC
      Registry Cleaner v6.02.exe; Brutus FTP Cracker.exe; Blaze DVD Player
      Pro v6.52.exe; BitDefender AntiVirus 2010 Keygen.exe; Avast 5.x
      Professional.exe; Avast 4.x Professional.exe; Ashampoo Snap 3.xx
      [Skarleot Group].exe; AOL Password Cracker.exe; AOL Instant Messenger
      (AIM) Hacker.exe; AnyDVD HD v.6.3.1.8 Beta incl crack.exe; Anti-Porn
      v13.x.x.x.exe; Alcohol 120 v1.9.x.exe; Adobe Photoshop CS4 crack by
      M0N5KI Hack Group.exe; Adobe Illustrator CS4 crack.exe; Adobe Acrobat
      Reader keygen.exe; Ad-aware 2010.exe; [patched, serial not needed]
      Absolute Video Converter 6.2-7.exe

Informaciones diversas Para buscar una conexión a Internet, contacta el siguiente sitio web:
• http://whatismyip.com/automation/n09230945.asp

Tecnología Rootkit Oculta las siguientes:
– Su propio proceso

Método empleado:
• Oculto en Windows API

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes 30 de julio de 2010
Descripción actualizada por Petre Galan el martes 3 de agosto de 2010

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas