TR/Copiet.B.1 - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Copiet.B.1
Descubierto:	21/06/2005
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	20.992 Bytes
Suma de control MD5:	b58eee5222843a98a2914904582bfcd8
Versión del VDF:	6.31.00.86

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Trojan.Win32.StartPage.aak
   • Bitdefender: Trojan.Delf.AP

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro

Ficheros Crea los siguientes ficheros:

– %PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral.
– %PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Tmp Los análisis adicionales indicaron que este fichero es también viral.

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
• v4.okunion.com/**********
El fichero está guardado en el disco duro en: %SYSDIR%\Media1.inf Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– La dirección es la siguiente:
• v4.okunion.com/**********
El fichero está guardado en el disco duro en: %SYSDIR%\Media2.inf Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   ShellExecuteHooks]
   • "{B48F6409-4740-475B-A474-651F54CCE460}" = ""

– [HKCR\CLSID\{B48F6409-4740-475B-A474-651F54CCE460}\InProcServer32]
   • "ThreadingModel" = "Apartment"
   • "@" = "%PROGRAM FILES%\Common Files\Microsoft Shared\MSSearch\Bin\MsInfo.Dll"

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Daniel Constantin el Tue, 14 Mar 2006 14:05 (GMT+1)
Descripción actualizada por Daniel Constantin el Thu, 23 Mar 2006 13:52 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver