Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Rivarts.A realiza las siguientes acciones:
- Captura las pulsaciones de teclado realizadas por el usuario.
- Bloquea el acceso a las direcciones web que haya especificado su autor.
- Almacena los certificados utilizados en el ordenador afectado.
- Envía los datos que ha recogido realizando peticiones HTTP/POST a varios scripts PHP alojados en diferentes servidores:
Scripts PHP: pin101.php, storage101.php, task101.php.
Servidores: robux.goodfriendszone.com, zitano.capitalizmu.net, janes.ktuno.com, rusta.korpdate.com.
Rivarts.A contiene su propia base de datos, que utiliza para guardar la información que roba y sus propia configuración. Su autor ha empleado el motor SQLite engine, que es una librería de código abierto.
Metodo de Infección
Rivarts.A crea los siguientes archivos en el directorio de sistema de Windows:
- ZSYS.EXE. Este archivo es una copia del troyano.
- ZSYS1.DLL, que es una DLL (Librería de Enlace Dinámico).
- Rivarts.A crea un determinado archivo, que luego es registrado como un servicio llamado mchInjDrv.
- Dicho servicio inyecta ZSYS1.DLL en todos los procesos activos.
- ZSYS1.DLL intercepta las siguientes funciones:
HttpSendRequestA (que se encuentra en la librería WININET.DLL).
FindNextFileA, FindNextFileW, RegEnumValueA y RegEnumValueW (KERNEL32.DLL).
PFXImportCertStore (CRYPT32.DLL).
NtQuerySystemInformation (NTDLL.DLL).
- De esta forma, Rivarts.A evita que algunos de sus componentes, como archivos, entradas y procesos, sean listados en el Explorador de Windows, el Administrador de Tareas, etc. - ZSYS2.DLL. Esta DLL es inyectada dentro del proceso de sistema explorer.exe, con el fin de monitorizarlo.
- ZSYS.DB. Este archivo es una base de datos, que utiliza las siguientes tablas:
settings, settings_global, settings_garbage, settings_formfaker, storage_certgrabber, storage_formgrabber, storage_formfaker, storage_keylogger, storage_garbage_formgrabber, storage_garbage_keylogger, filter_keylogger, filter_urlblocker, filter_formgrabber, filter_formfaker, filter_urlpopup, tasks y settings_global_hosts.
Rivarts.A utiliza esta base de datos para almacenar sus parámetros de configuración y la información que recoge. Por ejemplo, la primera vez que es ejecutado, Rivarts.A inserta varias URLs en la tabla settings_global_hosts, para más tarde poder conectarse a ellas.
Rivarts.A crea la siguiente entrada en el Registro de Windows:
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Zsys = %sysdir%\ zsys.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Rivarts.A consigue ejecutarse siempre que Windows se inicia.
Método de Propagación
Rivarts.A es descargado por el troyano detectado como Downloader.FHO.
Otros Detalles
Rivarts.A está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 399249 Bytes, y está comprimido mediante FSG.
Rivarts.A crea un mutex llamado zsys, para asegurarse de que únicamente haya una copia de sí mismo ejecutándose en cada momento.
Además, este troyano posee características anti-depuración, finalizando su propia ejecución si detecta que está activo en una máquina virtual VMWare.