Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Downloader.HC realiza las siguientes acciones:
- Instala el adware detectado por Panda Security como Lop en el ordenador afectado. Este adware añade una barra de herramientas a Internet Explorer:
- Añade los siguientes enlaces a páginas web en la carpeta Favoritos:
Antivirus.url, Casino Online.url, Computers.url, Games.url, Instant Messaging.url, Internet.url, Movie.url, Web Hosting.url.
En la subcarpeta Adult Entertainment:
Adult Dvd.url, Dvd.url, Fetish.url, Gay.url, Hardcore.url, Lesbian.url, Live Video Feeds.url, Matchmaking.url, Photos.url, Sex Movies.url, Sex Toys.url, Shemale Sex.url, Viagra.url, Dating\Christian dating.url, Dating\Dating Agency.url, Dating\Dating Service.url, Dating\Internet Dating.url, Dating\Jewish Dating.url, Dating\Online Dating.url.
En la subcarpeta Adult Items:
Adult Education.url, Adult Personals.url, Adult Toys.url, Breast Enhancement.url, Buy Adipex.url, Buy Viagra.url, Diet Pill.url, Penis Enlargement.url, Personals.url.
En la subcarpeta Computers:
Communication Technology.url, Computer Jobs.url, Computer Programming.url, Domain Hosting.url, Dvd.url, Hosting.url, Inkjet Cartridge.url, Instant Messenger.url, Internet.url, Working From Home.url, Games\Computer game.url, Games\Gamecube.url, Games\Microsoft.url, Games\Playstation.url, Games\Quake.url, Games\Sega Dreamcast.url, Games\Xbox.url.
En la subcarpeta Cool Stuff:
Dating.url, Descrambler.url, Dvd To Cd.url, Mp3.url, Online Pharmacy.url, Pass Drug Test.url, Printer Cartridge.url, Satellite Television.url, Scratch Card.url, Video Surveillance.url.
En la subcarpeta Home:
Adjustable Bed.url, Food Nutrition.url, Health Plan.url, Home Equity Loan.url, Home Improvements.url, Home Refinancing.url, Home Security.url, Interior Decorating.url, Office Space.url, Outdoor Cooking.url, Outdoor Furniture.url, Phone System.url, Satellite Television.url, Sleep Aids.url, Timeshare.url, Working From Home.url.
En la subcarpeta Internet:
Domain Registrations.url, Firewall.url, Flowers.url, Free Long Distance.url, Hosting.url, Internet Business.url, Investing Money.url, Jokes.url, Newsgroup.url, Online Football Games.url, Online Gaming.url, Spyware.url, Starting A Business.url, Web Marketing.url, Education\Adult Education.url, Education\Book.url, Education\College.url, Education\Community.url, Education\Education.url, Education\Essay.url, Education\School.url.
En la subcarpeta Online Gaming:
Bingo.url, Black Jack Poker.url, Casino Online.url, Craps.url, Gamble.url, Jackpot.url, Roulette Gambling.url, Slots.url, Sport Betting.url, Sport Book.url, Time Cards.url.
En la subcarpeta Online Pharmacy:
Buy Adipex.url, Buy Celebrex.url, Buy Fidrex.url, Buy Ionamin.url, Buy Meridia.url, Buy Phentemine.url, Buy Propecia.url, Buy Soma.url, Buy Tenuate.url, Buy Ultram Online.url, Buy Viagra.url, Buy Xenical.url, Consumer Consulting.url, Doctor.url, Mexican Pharmacy.url, Pass Drug Test.url, Pet Med.url, Pharmacy Online.url.
En la subcarpeta Shopping Gifts:
Birthday Gift.url, Cellular.url, Christmas Gift.url, Corporate Gift.url, Digital Cameras.url, Dress Fashion.url, DVD Players.url, Gift Basket.url, Jewelry.url, Leather Jackets.url, Perfume.url, Sexy Lingerie.url, Shoes.url, Smoke Shop.url, Underwear.url, Video Surveillance.url, Watches.url, Wedding Gifts.url, Wine Gifts.url, Womens Clothing.url.
En la subcarpeta Travel:
Air Travel.url, Cancun vacation.url, Car Rental.url, Cruises.url, Discount Travel.url, Europe Travel.url, Family Vacation.url, Hawaii Travel.url, Hotels.url, Las Vegas Hotel.url, London Hotel.url, New York.url, Orlando Hotel.url, Resort.url, Skiing.url, Timeshare.url, Travel Agent.url, Travel Insurance.url, Vacation.url, World Travel.url.
- Cambia la página de inicio de Internet Explorer por:
- Muestra la siguiente ventana al utilizar la herramienta de búsqueda de Internet Explorer:
- Ocasionalmente, muestra mensajes publicitarios al cerrar Internet Explorer.
Metodo de Infección
Downloader.HC crea los siguientes archivos:
- STA4.EXE en el directorio temporal de Windows.
- %prog_dir%\ %lista_dir_1%\ %lista_archivo_1%, donde:
%prog_dir% es el directorio por defecto de instalación de los programas del usuario
%lista_dir_1% es un subdirectorio de una lista determinada: COPY PLUS, SKIPMOVE, etc.
%lista_archivo_1% es un nombre de archivo de una lista determinada: PEAKPLATFORM.DLL, WIN DATA.DLL, etc. - %prog_dir%\ %lista_archivo_2%, donde:
%lista_archivo_2% es un subdirectorio y nombre de archivo de una lista: List Cdrom Cake\ GRAMENC.EXE, Knob Idle\ VIEW README.EXE, etc. - %prog_dir%\ %lista_dir_1%\ %lista_archivo_3%, donde:
%lista_archivo_3% es un archivo con un nombre formado por 5 dígitos aleatorios y extensión EXE.
Downloader.HC crea las siguientes entradas en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
%lista_nombre_1% = %prog_dir%\ %lista_archivo_2%
donde %lista_nombre_1% es un nombre de una lista fija: That bleh, baitlist, etc.
Mediante esta entrada, Downloader.HC se asegura de que es ejecutado cada vez que Windows se inicia. HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Bar = http://search200.com/searchbar.html
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Use Search Asst = no
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ %lista_nombre_2%
%lista_nombre_3%
donde:
%lista_nombre_2%: GLOBAL STUPID VIEW, Grey Poll mpeg, etc.
%lista_nombre_3%: byte multi, acidwipe, etc.
HKEY_CURRENT_USER\ Software\ %lista_nombre_4%
%lista_nombre_5%
%lista_nombre_4%: UPLOAD BOLD INFOSTOP, Nurbremoteonlineoption, lies third ref, etc.
%lista_nombre_5%: bind blue, Road vc, Dash Start, etc.
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Search Bar = http://search200.com/searchbar.html
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Toolbar
{xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ Browser Helper Objects\ {xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx}
Downloader.HC modifica las siguientes entradas del Registro de Windows:
- HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
Search Page = http://search200.com/searchbar.html - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
Search Page = http://search200.com/searchbar.html - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Internet Explorer\ Main
SearchAssistant = http://search200.com/searchbar.html
Mediante estas modificaciones, Downloader.HC cambia opciones de búsqueda de Internet Explorer.
Método de Propagación
Downloader.HC no se propaga automáticamente por sus propios medios, sino que precisa de la intervención del usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con ficheros adjuntos, descargas de Internet, transferencia de ficheros a través de FTP, canales IRC, redes de intercambio de ficheros punto a punto (P2P), etc.
Otros Detalles
Downloader.HC está escrito en el lenguaje de programación Visual C++ v7.10. Este troyano tiene un tamaño de 56811 Bytes cuando está comprimido mediante UPX, y de 122900 Bytes una vez descomprimido.