Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Spybot.AKB realiza las siguientes acciones:
- Llega al ordenador en un archivo que tiene el siguiente icono (el nombre del archivo puede variar):
- Una vez ejecutado, suelta en el ordenador un archivo que se encarga de instalar un complemento en los navegadores Firefox y Chrome, como se puede observar en la siguiente imagen:
- A pesar de que se puede seleccionar la opción Desactivar o Desinstalar este complemento, este sí que se desinstala o desactiva, pero el archivo que lo ha instalado se queda residente en memoria.
- Este complemento lo utiliza para redireccionar ciertas búsquedas realizadas por el usuario a páginas que pueden contener malware.
- Cuando el usuario realiza búsquedas que contengan alguna de las siguientes cadenas de texto, el complemento instalado se activa y provoca la redirección a otras páginas:
A: Airlines, Amazon,Antivir, Antivirus.
B: Baseball, Books.
C: Casino, Chrome, Cialis, Cigarettes, Comcast, Craigslist, Credit.
D: Dating, Design, Doctor.
E: Explorer
F: Fashion, Finance, Firefox, Flifhts, Flower, Football
G: Gambling, Gifts, Graphic.
H: Health, Hotel.
I: Insurance, Iphone.
L: Loans.
M: Medical, Military, Mobile, Money, Mortgage, Movie, Music, Myspace.
O: Opera.
P: Pharma, Pocker.
S: School, Software, Sport, Spybot, Spyware.
T: Trading, Tramadol, Travel, Twitter.
V: Verizon, Video, Virus, Vocations.
W: Wallpaper, Weather. - Por ejemplo, si el usuario realiza una búsqueda que contenga la palabra "Antivirus" o "Virus", intenta conectarse a la siguiente página en la que se observa la palabra que hemos introducido en el buscador:
http://searchnx.com/se.php?pop=1&aid=YmxhY<bloqueado>D8&sid=1912146&key=antivirus
http://searchnx.com/se.php?pop=1&aid=YmxhY<bloqueado>D8&sid=19121941&key=virus - Estas direcciones ya no están disponibles, por lo que no es posible realizar el redireccionamiento y en su lugar se abre la página del buscador Bing.
- El objetivo de este redireccionamiento es llevar a los usuarios a páginas maliciosas desde las que se descargaría más malware.
Por otra parte, Spybot.AKB lleva a cabo una serie de acciones para reducir la seguridad del ordenador:
- Se agrega a la lista de programas autorizados por el cortafuegos de Windows para así conseguir saltárselo.
- Desahibilita el servicio de reporte de errores de Windows.
- Desactiva el servicio User Access Control (UAC). Es un servicio que, en ordenadores con sistema operativo Windows 7/Vista informa al usuario de la ejecución o acceso de cualquier programa en el ordenador.
Metodo de Infección
Spybot.AKB crea los siguientes archivos en el directorio de sistema:
- GOOGLEUPDATES.EXE, que es una copia del gusano.
- GNOTE.EXE.
Spybot.AKB crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Google Update3 = %sysdir%\GoogleUpdates.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Spybot.AKB consigue ejecutarse cada vez que Windows se inicia. - HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
%sysdir%\GoogleUpdates.exe = %sysdir%\GoogleUpdates.exe:*:Enabled:Explorer
Mediante esta entrada, Spybot.AKB se añade a la lista de programas autorizados por el cortafuegos de Windows. - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
EnableLUA = 00, 00, 00, 00
Desactiva el User Access Control (UAC).
Se trata de una característica de los ordenadores con Windows 7/Vista que avisa al usuario de cualquier ejecución o acceso en el equipo por parte de algún programa. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
DeleteFlag = 01, 00, 00, 00 - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
FailureActions = 0A, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 01, 00, 00, 00, 54, 00, 41, 00, 00, 00, 00, 00, B8, 0B, 00, 00
Mediante estas dos entradas, deshabilita el servicio de reporte de errores de Windows. - HKEY_CURRENT_USER\Software\Microsoft\Google3
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Google3
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
google5 = 02 - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
google6 = 10
Spybot.AKB modifica la siguiente entrada del Registro de Windows para que no se ejecute automáticamente el servicio de reporte de errores de Windows:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
Start = 02, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
Start = 04, 00, 00, 00
Método de Propagación
Spybot.AKB utiliza diversas vías para propagarse, con el objetivo de infectar el mayor número de ordenadores posible.
Spybot.AKB se propaga a través de correo electrónico y programas P2P.
1.- Correo electrónico
Llega al ordenador en un mensaje que parece tratarse de una invitación a Twitter enviada por un amigo. El mensaje contiene el logo de Twitter y varios enlaces que apuntan a la página real de Twitter.
Sin embargo, para poder aceptar la invitación o saber quién la ha enviado, hay que ejecutar el archivo adjunto. Este archivo contiene una copia del gusano, así que si es ejecutado, el ordenador quedará afectado por Spybot.AKB.
El mensaje de correo en el que llega es como el siguiente:
Si el usuario descomprime el archivo adjunto de nombre INVITATION CARD.ZIP, verá un archivo que parece ser una imagen por la extensión JPG. Sin embargo, después de varios espacios en blanco aparece la extensión EXE:
2.- Redes P2P
Para ello, realiza el siguiente proceso:
- El gusano crea copias de sí mismo en las carpetas compartidas de los siguientes programas P2P:
eMule
LimeWire
Morpheus
Tesla
Winmx
eDonkey
Bearshare
Grokster
Icq
Kazaa - Se copia con los siguientes nombres, haciéndose pasar por aplicaciones interesantes:
Absolute Video Converter 6.2.exe
Ad-aware 2010.exe
Adobe Acrobat Reader keygen.exe
Adobe Illustrator CS4 crack.exe
Adobe Photoshop CS4 crack.exe
Alcohol 120 v1.9.7.exe
Anti-Porn v13.5.12.29.exe
AnyDVD HD v.6.3.1.8 Beta incl crack.exe
AOL Instant Messenger (AIM) Hacker.exe
AOL Password Cracker.exe
Ashampoo Snap 3.02.exe
Avast 4.8 Professional.exe
BitDefender AntiVirus 2010 Keygen.exe
Blaze DVD Player Pro v6.52.exe
Brutus FTP Cracker.exe
CleanMyPC Registry Cleaner v6.02.exe
Counter-Strike KeyGen.exe
Daemon Tools Pro 4.11.exe
DCOM Exploit.exe
DivX 5.0 Pro KeyGen.exe
Divx Pro 7 + keymaker.exe
Download Accelerator Plus v9.exe
Download Boost 2.0.exe
DVD Tools Nero 10.5.6.0.exe
FTP Cracker.exe
G-Force Platinum v3.7.5.exe
Google SketchUp 7.1 Pro.exe
GoogleUpdates.exe
Grand Theft Auto IV (Offline Activation).exe
Half-Life 2 Downloader.exe
Hotmail Cracker.exe
Hotmail Hacker.exe
ICQ Hacker.exe
Image Size Reducer Pro v1.0.1.exe
Internet Download Manager V5.exe
IP Nuker.exe
Kaspersky AntiVirus 2010 crack.exe
Kaspersky Internet Security 2010 keygen.exe
Keylogger.exe
K-Lite Mega Codec v5.5.1.exe
K-Lite Mega Codec v5.6.1 Portable.exe
L0pht 4.0 Windows Password Cracker.exe
LimeWire Pro v4.18.3.exe
Magic Video Converter 8 0 2 18.exe
McAfee Total Protection 2010.exe
Microsoft Visual Basic KeyGen.exe
Microsoft Visual C++ KeyGen.exe
Microsoft Visual Studio KeyGen.exe
Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.e
Motorola, nokia, ericsson mobil phone tools.exe
Mp3 Splitter and Joiner Pro v3.48.exe
MSN Password Cracker.exe
Myspace theme collection.exe
Nero 9 9.2.6.0 keygen.exe
NetBIOS Cracker.exe
NetBIOS Hacker.exe
Norton Anti-Virus 2005 Enterprise Crack.exe
Norton Anti-Virus 2010 Enterprise Crack.exe
Norton Internet Security 2010 crack.exe
Password Cracker.exe
PDF password remover (works with all acrobat reader).exe
PDF to Word Converter 3.0.exe
PDF Unlocker v2.0.3.exe
PDF-XChange Pro.exe
Power ISO v4.2 + keygen axxo.exe
Rapidshare Auto Downloader 3.8.exe
RapidShare Killer AIO 2010.exe
sdbot with NetBIOS Spread.exe
Sophos antivirus updater bypass.exe
Sub7 2.3 Private.exe
Super Utilities Pro 2009 11.0.exe
Total Commander7 license+keygen.exe
Trojan Killer v2.9.4173.exe
Tuneup Ultilities 2010.exe
Twitter FriendAdder 2.1.1.exe
UT 2003 KeyGen.exe
VmWare 7.0 keygen.exe
VmWare keygen.exe
Website Hacker.exe
Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
Windows 2003 Advanced Server KeyGen.exe
Windows 2008 Enterprise Server VMWare Virtual Machine.exe
Windows 7 Ultimate keygen.exe
Windows Password Cracker.exe
Windows XP PRO Corp SP3 valid-key generator.exe
Windows2008 keygen and activator.exe
WinRAR v3.x keygen RaZoR.exe
Youtube Music Downloader 1.0.exe
YouTubeGet 5.4.exe - De esta manera, otros usuarios que busquen este tipo de programas, lo podrían descargar y ejecutar pensando que se trata de un programa legal cuando en realidad es una copia del gusano.
Otros Detalles
Spybot.AKB está escrito en el lenguaje de programación Visual C++ v5. Este gusano tiene un tamaño de 419328 Bytes.
Investigación realizada por Aitor Crespo.