Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
P2PShared.AV realiza las siguientes acciones:
- Reduce el nivel de protección del ordenador, ya que:
- Detiene diversos servicios de seguridad, como el Informe de errores y el Centro de Seguridad de Windows.
- Desactiva las notificaciones del servicio de Control de Cuentas de Usuario (UAC). Se trata de una característica de los sistemas operativos Windows 7/Vista que informa a los usuarios cuando un programa hace cambios que requieren permiso de administrador.
- Modifica las políticas de seguridad de las cuentas de usuario deshabilitando las cuentas de de usuario limitadas o LUA (Least-Privileged User Account). - Se inyecta en el proceso EXPLORER.EXE para evitar ser detectado.
- Se conecta a las siguientes páginas web para descargar actualizaciones de sí mismo:
http://eld<bloqueado>ox.com
http://topi<bloqueado>bur.com - Se conecta a cierta página web para obtener la dirección IP pública del ordenador afectado.
- Intenta establecer conexión con otra página web para poder solicitar datos del ordenador.
- En navegadores con Firefox redirecciona páginas relacionadas con buscadores a las que intenta acceder el usuario a otra página con fines maliciosos.
- Las páginas afectadas contienen alguna de las siguientes cadenas de texto:
aol.com/aol/search?s_it
ask.com
bing.com
google.com
search - Y la página a la que redirecciona es: http://ruk<bloqueado>r.com/request.php?aid=blackout
- Cuando el usuario introduce ciertas palabras en el navegador (Internet Explorer, Chrome, Firefox y Opera), muestra mensajes de publicidad relacionados con ellas.
- Las palabras clave son las siguientes:
airlines
amazon
antivir
antivirus
baseball
books
casino
cialis
cigarettes
comcast
craigslist
credit
dating
design
doctor
estate
fashion
finance
flights
flower
footbal
football
gambling
gifts
graphic
health
hotel
insurance
iphone
loans
medical
military
mobile
money
mortgage
movie
music
myspace
pharma
pocker
poker
school
software
sport
spybot
spyware
trading
tramadol
travel
twitter
verizon
video
virus
vocations
wallpaper
weather
Metodo de Infección
P2PShared.AV crea los siguientes directorios:
- una carpeta de nombre aleatorio en la carpeta Mozilla Firefox\extensions del directorio Archivos de programa. El siguiente es un ejemplo: {9CE11043-9A15-4207-A565-0C94C42D590D}.
- SystemProc en la carpeta Application Data del directorio Documents and Settings del usuario que haya iniciado sesión.
P2PShared.AV crea los siguientes archivos:
- GOOGLEOVERLAY.EXE, en el directorio de sistema de Windows.
- LSASS.EXE, en la carpeta SystemProc, creada por él mismo, en la carpeta Application Data del directorio Documents and Settings del usuario que haya iniciado sesión.
- CHROME.MANIFEST, INSTALL.RDF y TIMER.XUL, en la carpeta creada por él mismo en la carpeta Mozilla Firefox\extensions del directorio Archivos de programa.
El archivo TIMER.XUL es el encargado de redireccionar ciertas direcciones web a otra página web.
P2PShared.AV crea las siguientes entradas en el Registro de Windows:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
GoogleUpdater01 = %sysdir%\GoogleOverlay.exe
donde %sysdir% es el directorio de sistema de Windows. - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
\Explorer\Run
RTHDBPL = C:\Documents and Settings\%nombreusuario%\Datos de programa\SystemProc\lsass.exe [- Caracteres aleatorios -]
donde %nombreusuario% es el nombre de usuario del usuario que ha iniciado sesión.
Mediante estas entradas, P2PShared.AV consigue ejecutarse cada vez que Windows se inicia. - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
UACDisableNotify = 01, 00, 00, 00
Deshabilita las notificaciones mostradas por el servicio Control de Cuentas de Usuario. - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
EnableLUA = 00, 00, 00, 00
Deshabilita las políticas de seguridad de las cuentas de usuario. - HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
%sysdir%\GoogleOverlay.exe = %sysdir%\GoogleOverlay.exe:*:Enabled:Explorer
Se añade a la lista de aplicaciones autorizadas por el cortafuegos de Windows. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
DeleteFlag = 01, 00, 00, 00 - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
FailureActions = 0A, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 01, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, B8, 0B, 00, 00
Mediante estas dos entradas, modifica las características del servicio de Informe de errores. - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
DeleteFlag = 01, 00, 00, 00 - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
FailureActions = 0A, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 01, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, B8, 0B, 00, 00
Mediantes estas dos entradas, modifica las características del servicio del Centro de Seguridad de Windows:
P2PShared.AV modifica las siguientes entradas del Registro de Windows, para detener los servicios de Informe de errores y del Centro de Seguridad de Windows respectivamente:
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
Start = 02, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
Start = 04, 00, 00, 00 - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
Start = 02, 00, 00, 00
Cambia esta entrada por:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
Start = 04, 00, 00, 00
Método de Propagación
P2PShared.AV se propaga a través de los siguientes medios:
1. Programas de intercambio de archivos punto a punto ( P2P).
Realiza el siguiente proceso:
- Crea copias de sí mismo en los directorios compartidos pertenecientes a los siguientes programas:
- BearShare
- Edonkey2000
- Emule
- Grokster
- Icq
- Kazaa
- Limewire
- Tesla
- Winmx - Se copia utilizando los siguientes nombres:
[]
[+ MrKey +] Windows XP PRO Corp SP3 valid-key generator.exe, [antihack tool] Trojan Killer v2.9.4173.exe, [Eni0j0 team] Vmvare keygen.exe, [Eni0j0 team] Windows 7 Ultimate keygen.exe, [fixed]RapidShare Killer AIO 2010.exe, [patched serial not need] Nero 9.x keygen.exe, [patched serial not needed] Absolute Video Converter 6.2-7.exe, [patched serial not needed] PDF to Word Converter 3.4.exe, [patched serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe
A
Ad-aware 2010.exe, Adobe Acrobat Reader keygen.exe, Adobe Illustrator CS4 crack.exe, Adobe Photoshop CS4 crack by M0N5KI Hack Group.exe, Alcohol 120 v1.9.x.exe, Anti-Porn v13.x.x.x.exe, AnyDVD HD v.6.3.1.8 Beta incl crack.exe, AOL Instant Messenger (AIM) Hacker.exe, AOL Password Cracker.exe, Ashampoo Snap 3.xx [Skarleot Group].exe, Avast 4.x Professional.exe, Avast 5.x Professional.exe
B
BitDefender AntiVirus 2010 Keygen.exe, Blaze DVD Player Pro v6.52.exe, Brutus FTP Cracker.exe
C
CleanMyPC Registry Cleaner v6.02.exe, Counter-Strike Serial key generator [Miona patch].exe
D
Daemon Tools Pro 4.8.exe, DCOM Exploit archive.exe, DivX 5.x Pro KeyGen generator.exe, Divx Pro 7.x version Keymaker.exe, Download Accelerator Plus v9.2.exe, Download Boost 2.0.exe, DVD Tools Nero 10.x.x.x.exe
F
FTP Cracker.exe
G
G-Force Platinum v3.7.6.exe, Google SketchUp 7.1 Pro.exe, Grand Theft Auto IV [Offline Activation + mouse patch].exe
H
Half-Life 2 Downloader.exe, Hotmail Cracker [Brute method].exe, Hotmail Hacker [Brute method].exe
I
ICQ Hacker Trial version [brute].exe, Image Size Reducer Pro v1.0.1.exe, Internet Download Manager V5.exe, IP Nuker.exe
K
Kaspersky AntiVirus 2010 crack.exe, Kaspersky Internet Security 2010 keygen.exe, Keylogger unique builder.exe, K-Lite Mega Codec v5.2 Portable.exe, K-Lite Mega Codec v5.2.exe
L
L0pht 4.0 Windows Password Cracker.exe, LimeWire Pro v4.18.3 [Cracked by AnalGin].exe
M
Magic Video Converter 8.exe, McAfee Total Protection 2010 [serial patch by AnalGin].exe, Microsoft Visual Basic KeyGen.exe, Microsoft Visual C++ KeyGen.exe, Microsoft Visual Studio KeyGen.exe, Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe, Motorola, nokia, ericsson mobil phone tools.exe, Mp3 Splitter and Joiner Pro v3.48.exe, MSN Password Cracker.exe, Myspace theme collection.exe
N
NetBIOS Cracker.exe, NetBIOS Hacker.exe, Norton Anti-Virus 2005 Enterprise Crack.exe, Norton Anti-Virus 2010 Enterprise Crack.exe, Norton Internet Security 2010 crack.exe
P
Password Cracker.exe, PDF password remover (works with all acrobat reader).exe, Power ISO v4.4 + keygen milon.exe
R
Rapidshare Auto Downloader 3.8.6.exe
S
sdbot with NetBIOS Spread.exe, Sophos antivirus updater bypass.exe, Sub7 2.5.1 Private.exe, Super Utilities Pro 2009 11.0.exe
T
Total Commander7 license+keygen.exe, Tuneup Ultilities 2010.exe, Twitter FriendAdder 2.3.9.exe
U
UT 2003 KeyGen.exe, VmWare 7.x keygen.exe
W
Website Hacker.exe, Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe, Windows 2008 Enterprise Server VMWare Virtual Machine.exe, Windows Password Cracker + Elar3 key.exe, Windows2008 keygen and activator.exe, WinRAR v3.x keygen [by HiXem].exe
Y
Youtube Music Downloader 1.3.exe, YouTubeGet 5.6.exe - Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos correspondientes a P2PShared.AV.
2. Correo electrónico
Llega al ordenador adjunto en un mensaje de correo electrónico como el siguiente, haciéndose pasar por una tarjeta de Hallmark:
3. Unidades extraíbles
Realiza copias de sí mismo con el nombre REDMOND.EXE en la ruta Recycler\S-%número aleatorio% en los dispositivos extraíbles que se conecten al ordenador, como llaves USB. Además, crea un archivo AUTORUN.INF en dichas unidades, para así conseguir ejecutarse automáticamente cada vez que se acceda a alguna de ellas.
Otros Detalles
P2PShared.AV está escrito en el lenguaje de programación Visual Basic v6.0. Este gusano tiene un tamaño de 643072 Bytes.