Nombre:TR/Neeris.67584
Descubierto:31/03/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:67.584 Bytes
Suma de control MD5:f7db2ac64bf9874bc03d847426c0c811
Versión del IVDF:7.10.06.06 - miércoles 31 de marzo de 2010

 General Método de propagación:
   • Red local


Alias:
   •  Sophos: W32/Autorun-AEX
   •  Bitdefender: Trojan.Agent.AMMK
   •  Panda: W32/Ircbot.CKA
   •  Eset: Win32/Injector.MM


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\smsc.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%SYSDIR%\drivers\sysdrv32.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Hacktool.Tcpz.A




Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\smsc.exe"

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WSSVC"="%SYSDIR%\smsc.exe"



Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   SVCWINSPOOL]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   SVCWINSPOOL]
   • "@"="Service"

 Infección en la red Para asegurar su propagación, el programa viral intenta conectarse a otros sistemas, tal como se describe a continuación.


Exploit:
Emplea las siguientes brechas de seguridad:
– MS04-011 (LSASS Vulnerability)
– MS06-040 (Vulnerability in Server Service)


Creación de direcciones IP:
Crea direcciones IP aleatorias y guarda los primeros dos octetos de su propia dirección. Luego intenta establecer una conexión con las direcciones generadas.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: b.vsp**********.com
Puerto: 988
Canal: #lox
Apodo: [00-USA-XP-%número%]

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el jueves 5 de agosto de 2010
Descripción actualizada por Petre Galan el jueves 5 de agosto de 2010

Volver . . . .