ADSPY/Look2Me.AB.67 - Adware / Spyware

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	ADSPY/Look2Me.AB.67
Descubierto:	10/10/2005
Tipo:	Troyano
Subtipo:	Adware
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	578.560 Bytes
Suma de control MD5:	242a20bae9cf9cb816a447150378c02d
Versión del VDF:	6.32.00.72

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: not-a-virus:AdWare.Win32.Look2Me.ab
   • VirusBuster: trojan Adware.Look2Me.P
   • Bitdefender: Trojan.Canbede.L

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Descarga ficheros
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Crea los siguientes ficheros:

– %SYSDIR%\%serie de caracteres aleatorios%.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: ADSPY/Look2Me.AB.76

– %SYSDIR%\%serie de caracteres aleatorios%.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: ADSPY/Look2Me.AB.76

– %SYSDIR%\guard.tmp Detectado como: ADSPY/Look2Me.AB.76

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   %palabras aleatorias%]
   • "Shutdown" = "WinShutdown"
   • "Logoff" = "WinLogoff"
   • "Logon" = "WinLogon"
   • "Impersonate" = dword:00000000
   • "DllName" = "%sysdir%\%fichero dll viral%"
   • "Asynchronous" = dword:00000000

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\
   Approved]
   • "%CLSID generados%" = ""

– [HKCR\CLSID\%CLSID generados%]
   • "IDEx" = "ADDR"
   • "@" = ""

– [HKCR\CLSID\%CLSID generados%\Implemented Categories]
   • "@" = ""

– [HKCR\CLSID\%CLSID generados%\Implemented Categories\
   {00021492-0000-0000-C000-000000000046}]
   • "@" = ""

– [HKCR\CLSID\%CLSID generados%\InprocServer32]
   • "ThreadingModel" = "Apartment"
   • "@" = "%sysdir%\%fichero dll viral%"

Modifica la siguiente clave del registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Streams\
   Desktop]
   Valor anterior:
   • "Taskbar" = %configuración definida por el usuario%
   Nuevo valor:
   • "Taskbar" = %valores hex%

Ficheros host A veces puede ser que el fichero host sea modificado de la siguiente forma:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso al siguiente dominio está bloqueado:
• %recogido del Internet%

Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • www.ad-w-a-r-e.com/AD/**********
   • www.a-d-w-a-r-e.com/AD/**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante una interrogación HTTP GET en un script PHP.

Envía informaciones acerca de:
    • Estado actual del programa viral

Capabilidades de control remoto:
    • Descargar fichero
    • Editar el registro del sistema
    • Visitar un sitio web

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Daniel Constantin el Fri, 03 Mar 2006 12:14 (GMT+1)
Descripción actualizada por Daniel Constantin el Fri, 03 Mar 2006 16:43 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver