Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Clickbot.A realiza las siguientes acciones:
- Se registra como BHO (Browser Helper Object) para ejecutarse cada vez que Internet Explorer se ejecuta.
- Notifica que se ha instalado en el ordenador accediendo a un PHP script de cierta página web. Envía su versión y un identificador único.
- Comprueba si existe alguna actualización disponible. En caso afirmativo, la descarga y la ejecuta.
- Se registra en una base de datos del sistema de control. Después, espera hasta que recibe la orden de pulsar anuncios, sobre qué anuncios debe pulsar y las palabras clave a las que va destinado.
- De esta manera, el propósito de su controlador consiste en obtener beneficios económicos procedentes de los clics fraudulentos que el troyano realiza sobre anuncios patrocinados por una cierta empresa, que a cambio no consigue ninguna visita a su página web.
Metodo de Infección
Clickbot.A crea los siguientes archivos:
- TEMP.WSF en el directorio temporal de Windows. Este archivo está escrito en JavaScript.
- IEHLEPERVY.DLL, en el directorio de sistema de Windows. Este archivo es una DLL (Librería de Enlace Dinámico) que se registra como BHO.
Clickbot.A crea las siguientes entradas en el Registro de Windows:
- HKEY_CLASSES_ROOT\ CLSID\ {60F4F2F3-0AFB-4AEF-B21E-B03D1C95B49E
- HKEY_CLASSES_ROOT\ CLSID\ {E89097ED-3400-411D-9647-D368C3311C98}
- HKEY_CLASSES_ROOT\ IExplorerHelperVS.BrowserHook
- HKEY_CLASSES_ROOT\ IExplorerHelperVS.BrowserHook.1
- HKEY_CLASSES_ROOT\ IExplorerHelperVS.IExplorerHelper\ CLSID
- HKEY_CLASSES_ROOT\ IExplorerHelperVS.IExplorerHelper\ CurVer
- HKEY_CLASSES_ROOT\ IExplorerHelperVS.IExplorerHelper.1
- HKEY_CLASSES_ROOT\ IExplorerHelperVS.IExplorerHelper.1\ CLSID
- HKEY_CLASSES_ROOT\ Interface\ {68A7972B-AA41-4EE7-8A5F-F2986A0C2504}
- HKEY_CLASSES_ROOT\ Interface\ {7A84FD4C-1853-458D-A878-B1860F93D2EF}
- HKEY_CLASSES_ROOT\ TypeLib\ {2215C65C-89E2-4363-820A-8C46FD4A9C97}
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {E89097ED-3400-411D-9647-D368C3311C98}
Mediante estas entradas, Clickbot.A consigue registrarse como BHO y activarse cada vez que Internet Explorer se inicia.
Método de Propagación
Clickbot.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
El archivo ejecutable está escrito en lenguaje Ensamblador y la DLL en Visual C++. El archivo ejecutable tiene un tamaño de 61873 Bytes y está comprimido mediante FSG.