Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

SpamNet.A
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

SpamNet.A realiza las siguientes acciones:

Descarga malware en el ordenador afectado:
- Otros troyanos: Downloader.DQY, Downloader.DYB, Downloader.CRY y Downloader.EBY.
- Programas adware: SpySheriff.
A su vez, dicho malware descarga e instala más troyanos, backdoors como Galapoper.C, otros programas adware y dialers.

Metodo de Infección

SpamNet.A crea los siguientes archivos en el directorio de sistema de Windows:

KERNELS32.EXE. Este archivo es una copia del troyano.
VXH8JKDQ1.EXE y VXH8JKDQ8.EXE, que son copias de Downloader.DQY.
VXH8JKDQ2.EXE, que es el adware SpySheriff.
VXH8JKDQ5.EXE, detectado como Downloader.DYB.
VXH8JKDQ6.EXE, correspondiente a Downloader.CRY.
VXH8JKDQ7.EXE, que es una copia de Downloader.EBY.

SpamNet.A crea la siguiente entrada en el Registro de Windows:

HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
System = %sysdir%\ kernels32.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, SpamNet.A consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación

La distribución de SpamNet.A comienza cuando el usuario visita una determinada página web:

La página web intenta explotar la vulnerabilidad IFRAME.BoF en el ordenador.
Si lo consigue, automáticamente abre otras dos páginas web:
Página1: http://all-tgp<bloqueado>php?num=2&my_descri=new600
Página2: http://all-tgp<bloqueado>php?num=1&descr=600pics.com
A su vez, página1 abre el sitio http://69.50.17<bloqueado>ff/1/index.html, que:
- Explota la vulnerabilidad ByteVerify para ejecutar un archivo llamado OPEN.EXE.
- Utiliza una etiqueta IMG para acceder a la dirección http://69.50.17<bloqueado>ff/1/bc.php.
- Abre el sitio http://69.50.17<bloqueado>ff/1/page1.html, cuyo código está encriptado mediante una función JavaScript. Este sitio explota la vulnerabilidad ADODB.Stream para sobrescribir el archivo WMPLAYER.EXE, que se encuentra en la subcarpeta WINDOWS MEDIA PLAYER del directorio Archivos de Programa, con el archivo http://69.50.17<bloqueado>ff/1/pic10.jpg.
Por otra parte, página2 abre las siguientes direcciones:

http://all-tgp<bloqueado>php?tds=good&my_descri=600pics.com&cons_num=1
http://all-tgp<bloqueado>php?tds=good&my_descri=600pics.com&cons_num=2
http://all-tgp<bloqueado>php?tds=good&my_descri=600pics.com&cons_num=3
http://all-tgp<bloqueado>php?tds=good&my_descri=600pics.com&cons_num=4
http://all-tgp<bloqueado>php?tds=good&my_descri=600pics.com&cons_num=5
http://all-tgp<bloqueado>php?tds=good&my_descri=600pics.com&cons_num=6,
que redirigen a tres páginas que ofrecen contenido para adultos. La página que se visita es distinta en cada ocasión.

Así como también:
http://www.vxifra<bloqueado>verts/096/1.php
Esta página contiene dos exploits:
sploit.anr, que aprovecha la Vulnerabilidad en el formato de cursor e icono para descargar y ejecutar un archivo llamado WEB.EXE.
targ.chm, que explota MhtRedir para instalar un archivo llamado WIN32.EXE.
Tanto WEB.EXE como WIN32.EXE son copias de SpamNet.A.

Otros Detalles

SpamNet.A está escrito en lenguaje C, mediante el compilador LCC32. Este troyano tiene un tamaño de 4737 Bytes, y está comprimido mediante FSG.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info