Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Cimuz.EL realiza las siguientes acciones:
- Monitoriza el tráfico de Internet generado para obtener la información que el usuario introduzca en los formularios web.
- De esta manera, puede conseguir datos confidenciales, como nombres de usuario y contraseñas de cuentas bancarias y de cuentas de correo, entre otras.
- Obtiene información del ordenador, como por ejemplo dirección IP, nombre, área geográfica, puertos abiertos, etc.
- Después, envía la información a un determinado servidor.
Metodo de Infección
Cimuz.EL crea los siguientes archivos en el directorio de sistema de Windows:
- ISCA.EXE, que descarga a HHT24.EXE.
- HHT24.EXE, que suelta e instala la DLL IPV6MONL.DLL.
- IPV6MONL.DLL , que se encarga de monitorizar el tráfico de Internet.
- QAS.TX, en la subcarpeta DRIVERS.
Cimuz.EL crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
gtydf = iscca.exe
Mediante esta entrada, Cimuz.EL consiguiría ejecutarse cada vez que Windows se inicia. Sin embargo, no lo consigue debido a un error en el nombre del archivo. - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {36DBC179-A19F-48F2-B16A-6A3E19B42A87}
Mediante esta entrada, Cimuz.EL se registra como BHO (Browser Helper Object). - HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Enable Browser Extensions = yes
De esta manera, activa las extensiones del Internet Explorer para que la DLL encargada de monitorizar el tráfico pueda ser cargada. - HKEY_CLASSES_ROOT\ CLSID\ (36DBC179-A19F-48F2-B16A-6A3E19B42A87)\ ImprocServer32
%sysdir%\ipv6monl.dll
donde %sysdir% es el directorio de sistema de Windows. - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
C:\Program Files\Internet Explorer\IEXPLORE.EXE = C:\Program Files\Internet Explorer\IEXPLORE.EXE:*:Enabled:Internet Explorer
De esta manera, Cimuz.EL se añade a la lista de programas autorizados por el cortafuegos.
Método de Propagación
Cimuz.EL no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
>Otros Detalles
Cimuz.EL está escrito en el lenguaje de programación Visual C++ v6. Este troyano tiene un tamaño de 98008 Bytes.