Kaspersky alerta de troyano
De acuerdo al boletín de Kaspersky, se han recibido correos de una supuesta muerte del presidente Vicente Fox, pero en realidad se trata de un troyano que se instala cuando se visita la página que se indica en el correo y si se descarga el archivo download.exe, se esta descargando un troyano que roba información personal.
El análisis de estos dos troyanos, es el siguente:
|
Nombre
|
Trojan Downloader.Win32.small.Dua
|
|
Archivos
|
system.exe, xp_test[1].exe
|
|
Tamaño archivo
|
3584 bytes
|
|
Asunto en el Mensaje
|
El presidente mexicano es muerto
Mexican President Vincent Fox fucked himself.
Mexican President Vincent Fox killed himself.
Vincent Fox se mato
Vincent Fox
|
Los dos troyanos (system.exe y xp_test.exe ) se descargan en forma automática al visitar la pagina.
Realiza cambios al sistema al crear los siguientes archivos:
C: emp1.bin.
C: emp1.exe.
C: emp1.bin.
Servicios de Red [ Network services ]
Descarga un archivo desde http://81.95.146.133/sp/1.exe como C: emp1.bin.
El cuerpo del correo contiene el siguiente mensaje:
Mexican President Vincent Fox killed himself. You can see his last words in attachment to e-mail. Tomorrow it will be on every news channel. Good bye, Vincent. DOWNLOAD Presidente mexicano Vincent Fox se mato. Usted puede ver sus palabras pasadas en el accesorio al E-mail. Estara manana en cada canal de las noticias. Adios, Vincent. Website
|
Nombre
|
Trojan-PSW.Win32.small.bs
|
|
Archivos
|
downloader.exe
|
|
Tamaño archivo
|
24576 bytes
|
Es una amenaza de alto riesgo que normalmente se instala sin la interacción del usuario a través de explotar vulnerabilidades. Puede abrir conexiones de red ilícitas, utiliza técnicas polimorficas para ocultarse, puede deshabilitar la seguridad de software, modificar los archivos del sistema e instalar código malicioso. Además puede recolectar y transmitir información personal como password (Personally Identifiable Information, PII ) sin hacerse notar y sin degradar el rendimiento o la estabilidad de la computadora
Realiza cambios a sistema al crear los siguientes archivos:
C:WINDOWS9129837.exe.
C:a.bat.
C:WINDOWShide_evr2.sys.
Realiza cambios a sistema al hacer los siguientes cambios en el registro:
Crea la llave "HKCUSoftwareMicrosoftInetData".
Asigna el valor "k1"="" en la llave "HKCUSoftwareMicrosoftInetData".
Asigna el valor "k2"="" en la llave "HKCUSoftwareMicrosoftInetData".
Crea el valor "ttool"="C:WINDOWS9129837.exe" en la llave "HKCUSoftwareMicrosoftWindowsCurrentVersionRun".
Crea la llave "HKLMSystemCurrentControlSetServiceshide_evr2".
Asigna el valor "ImagePath"="C:WINDOWShide_evr2.sys" en la llave "HKLMSystemCurrentControlSetServiceshide_evr2".
Asigna el Valor "DisplayName"="!!!!" en la llave "HKLMSystemCurrentControlSetServiceshide_evr2".
Información de Windows y de Procesos
Accesa el servicio "SharedAccess".
Accesa el servicio "wscsvc".
Abre C:WINDOWS9129837.exe NULL.
Abre c:a.bat "c:sample.exe".
Crea un mutex ___RHaiuy72Mjtex.
Accesa el servicio "hide_evr2".
Crea el Servicio "hide_evr2 (!!!!)" como "C:WINDOWShide_evr2.sys".
Si su equipo ha sido infectado Kaspersky Antivirus lo detecta y elimina en :
http://www.kaspersky.com/viruswatchlite?search_virus=Trojan-PSW.Win32.small.bs&hour_offset=9
