BKDR_VISEL.FO

Puede haberlo infiltrado otro malware.

Elimina archivos para impedir la ejecución correcta de programas y aplicaciones.

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado. Se conecta a un sitio Web para enviar y recibir información.

Recopila información específica del sistema afectado.

Detalles de entrada

Puede haberlo infiltrado el malware siguiente:

• TROJ_MDROP.ZD

Instalación

Agrega las carpetas siguientes:

• c:\a

Este malware infiltra el/los siguiente(s) archivo(s):

• %User Temp%\print32.dll - also detected as BKDR_VISEL.FO
• %Program Files%\Common Files\odbc.nls - also detected as BKDR_VISEL.FO

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %Windows%\Temp\s{random numbers}.dat

(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).

Su componente DLL se inyecta en el(los) siguiente(s) proceso(s):

• spoolsv.exe

Otras modificaciones del sistema

Elimina los archivos siguientes:

• %Program Files%\Common Files\odbc_dmc.nls
• %Program Files%\Common Files\odbc_orp.nls
• %Program Files%\Common Files\odbc_res.nls
• %Program Files%\Common Files\odbc_lif.nls
• %Program Files%\Common Files\odbc_ger.nls
• %Program Files%\Common Files\odbc_rcs.nls
• %Program Files%\Common Files\odbc_div.nls
• %Program Files%\Common Files\odbc_dua.nls
• %Program Files%\Common Files\odbc_rehto.nls
• %Program Files%\Common Files\dumpodbc.exe
• %Program Files%\Common Files\odbc_txe.nls
• %Program Files%\Common Files\odbc_gpj.nls
• %Program Files%\Common Files\odbc_yek.nls

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Modifica las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\Spooler
FailureActions = {HEX values}

(Note: The default value data of the said registry entry is {default value}.)

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Change the port it uses when connecting to its C&C server
• Check contents of %Program Files%\Common Files folder
• Connect to a new C&C IP address
• Connect to a website via HTTP
• Create/Manipulate threads
• Download and execute files
• Load/free libraries
• Log user keystrokes

(Nota: %Program Files% es la carpeta Archivos de programa predeterminada, que suele estar en C:\Archivos de programa).

Se conecta a los sitios Web siguientes para enviar y recibir información:

• {BLOCKED}.{BLOCKED}.9.132

Finalización del proceso

Finaliza los servicios siguientes si los detecta en el sistema afectado:

• spooler
• stisvc
• wuauserv
• Norton Internet Security
• Norton 360
• Norton AntiVirus

Robo de información

Recopila la siguiente información del sistema afectado:

• Computer name
• IP address
• Operating system information

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• c:\a\b.txt