• Registrarse
  • Iniciar sesión


  • Resultados 1 al 1 de 1

    Alerta: Wimpixo.BG

    Nombre completo: [email protected] Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo. Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, ...

          
    1. #1
      Usuario Avatar de JuanD:
      Registrado
      jul 2008
      Ubicación
      Venezuela
      Mensajes
      1.962

      Malware Alerta: Wimpixo.BG

      Nombre completo: [email protected]
      Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
      Mecanismo principal de difusión: [WEB] - Nuestro equipo se contagia al visitar una página web infectada.
      Tamaño (bytes): 50688
      Alias:TROJ_WIMPIXO.BG (Trend Micro), Win-Trojan/Wimpixo.50688 (AhnLab), Trojan.Win32.Agent2.kuz (Kaspersky), Win32/Agent.PTB (ESET), Troj/Bckdr-QWJ (Sophos), Agent2.MJS (AVG), Win32.TrojanWimpixo (E-safe Aladdin)
      Detalles

      Método de Infección/Efectos

      Cuando se ejecuta por primera vez, el troyano crea los siguientes ficheros:
      %System%\6to4v32.dll
      %System%\pcmstub.sys

      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

      El troyano inyecta el anterior fichero 'dll' en un proceso svchost.exe.

      El troyano se registra como un servicio del sistema para asegurarse su ejecución automática en inicio del sistema. Lo hace creando las siguientes entradas en el registro:
      Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4

      Valor:Type = 120

      Valor:Start = 2

      Valor:ErrorControl = 1

      Valor:ImagePath = "%System%\svchost.exe -k netsvcs"

      Valor:DisplayName = "6to4"

      Valor:ObjectName = "LocalSystem"
      Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6to4\Parameters

      Valor:ServiceDll = "%System%\6to4v32.dll"

      También registra el otro fichero recien creado mediante las siguientes entradas en el registro:
      Clave:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcmstub

      Valor:Type = 1

      Valor:Start = 3

      Valor:ErrorControl = 0

      Valor:ImagePath = %System%\pcmstub.sys

      Valor:DisplayName = "pcmstub"

      Valor:Description = "pcmstub"

      Posteriormente borra el fichero que generó la infección.

      Método de Propagación

      Este troyano puede ser descargado desde un sitio malicioso remoto por el siguiente malware:ll
      TROJ_DLOADR.XNI

      También puede ser descargado del siguiente sitio remoto:
      http://*0*.159.133.42/images/v2/11630.exe

      Nota:Para su protección, la IP ha sido parcialmente omitida.

      Otros Detalles

      Este troyano puede ser ejecutado en Windows 98, ME, NT, 2000, XP y Server 2003.

      Fuente
      Última edición por JuanD: fecha: 07/07/09 a las 21:40:29