TROJ_ASPROX
Danmec, Asprox
PLATFORM:
Windows 2000, Windows XP, Windows Server 2003
OVER ALL RISK RATING:
DAMAGE POTENTIAL::
DISTRIBUTION POTENTIAL::
REPORTED INFECTION:
Low
Medium
High
Critical
Threat Type:
Trojan
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
INFECTION CHANNEL: Se envía como spam vía correo electrónico, Eliminado por otro tipo de malware, Descargado de Internet
TECHNICAL DETAILS
Memory resident: Yes
PAYLOAD: Drops files
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Sft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Sft
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\aspi113210
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\aspimgr
HKEY_USERS\.DEFAULT\Software\
Microsoft\Sft
Rutina de infiltración
Infiltra los archivos siguientes:
- %System%\aspimgr.exe
- %System%\aspi{random numbers}.exe
- %User Temp%\_check32.bat
- %Windows%\db32.txt
- %Windows%\g32.txt
- %Windows%\gs32.txt
- %Windows%\s32.txt
- %Windows%\ws386.ini
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).. %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).)