Active Scan. Analiza Gratis tu PC
Download Cloud Antivirus Gratis

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Spybot.AKB

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Spybot.AKB realiza las siguientes acciones:

  • Llega al ordenador en un archivo que tiene el siguiente icono (el nombre del archivo puede variar):

    Icono con el que llega Spybot.AKB
  • Una vez ejecutado, suelta en el ordenador un archivo que se encarga de instalar un complemento en los navegadores Firefox y Chrome, como se puede observar en la siguiente imagen:

    Complemento que se instala en los navegadores
  • A pesar de que se puede seleccionar la opción Desactivar o Desinstalar este complemento, este sí que se desinstala o desactiva, pero el archivo que lo ha instalado se queda residente en memoria. 
  • Este complemento lo utiliza para redireccionar ciertas búsquedas realizadas por el usuario a páginas que pueden contener malware.
  • Cuando el usuario realiza búsquedas que contengan alguna de las siguientes cadenas de texto, el complemento instalado se activa y provoca la redirección a otras páginas:
    A: Airlines, Amazon,Antivir, Antivirus.

    B: Baseball, Books.

    C: Casino, Chrome, Cialis, Cigarettes, Comcast, Craigslist, Credit.

    D: Dating, Design, Doctor.

    E: Explorer

    F: Fashion, Finance, Firefox, Flifhts, Flower, Football

    G: Gambling, Gifts, Graphic.

    H: Health, Hotel.

    I: Insurance, Iphone.

    L: Loans.

    M: Medical, Military, Mobile, Money, Mortgage, Movie, Music, Myspace.

    O: Opera.

    P: Pharma, Pocker.

    S: School, Software, Sport, Spybot, Spyware.

    T: Trading, Tramadol, Travel, Twitter.

    V: Verizon, Video, Virus, Vocations.

    W: Wallpaper, Weather.
  • Por ejemplo, si el usuario realiza una búsqueda que contenga la palabra "Antivirus" o "Virus", intenta conectarse a la siguiente página en la que se observa la palabra que hemos introducido en el buscador:
    http://searchnx.com/se.php?pop=1&aid=YmxhYD8&sid=1912146&key=antivirus
    http://searchnx.com/se.php?pop=1&aid=YmxhY
    D8&sid=19121941&key=virus
  • Estas direcciones ya no están disponibles, por lo que no es posible realizar el redireccionamiento y en su lugar se abre la página del buscador Bing.
  • El objetivo de este redireccionamiento es llevar a los usuarios a páginas maliciosas desde las que se descargaría más malware.

 

Por otra parte, Spybot.AKB lleva a cabo una serie de acciones para reducir la seguridad del ordenador:

  • Se agrega a la lista de programas autorizados por el cortafuegos de Windows para así conseguir saltárselo.
  • Desahibilita el servicio de reporte de errores de Windows.
  • Desactiva el servicio User Access Control (UAC). Es un servicio que, en ordenadores con sistema operativo Windows 7/Vista informa al usuario de la ejecución o acceso de cualquier programa en el ordenador.

Metodo de Infección 

Spybot.AKB crea los siguientes archivos en el directorio de sistema:

  • GOOGLEUPDATES.EXE, que es una copia del gusano.
  • GNOTE.EXE.

 

Spybot.AKB crea las siguientes entradas en el Registro de Windows:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Google Update3 = %sysdir%\GoogleUpdates.exe

    donde %sysdir% es el directorio de sistema de Windows.
    Mediante esta entrada, Spybot.AKB consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplications\ List
    %sysdir%\GoogleUpdates.exe = %sysdir%\GoogleUpdates.exe:*:Enabled:Explorer
    Mediante esta entrada, Spybot.AKB se añade a la lista de programas autorizados por el cortafuegos de Windows.
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
    EnableLUA = 00, 00, 00, 00

    Desactiva el User Access Control (UAC).
    Se trata de una característica de los ordenadores con Windows 7/Vista que avisa al usuario de cualquier ejecución o acceso en el equipo por parte de algún programa.
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
    DeleteFlag = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
    FailureActions = 0A, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 00, 01, 00, 00, 00, 54, 00, 41, 00, 00, 00, 00, 00, B8, 0B, 00, 00

    Mediante estas dos entradas, deshabilita el servicio de reporte de errores de Windows.
  • HKEY_CURRENT_USER\Software\Microsoft\Google3
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Google3
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    google5 = 02
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
    google6 = 10

 

Spybot.AKB modifica la siguiente entrada del Registro de Windows para que no se ejecute automáticamente el servicio de reporte de errores de Windows:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
    Start = 02, 00, 00, 00

    Cambia esta entrada por:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ERSvc
    Start = 04, 00, 00, 00

Método de Propagación 

Spybot.AKB utiliza diversas vías para propagarse, con el objetivo de infectar el mayor número de ordenadores posible.

Spybot.AKB se propaga a través de correo electrónico y programas P2P.

1.- Correo electrónico

Llega al ordenador en un mensaje que parece tratarse de una invitación a Twitter enviada por un amigo. El mensaje contiene el logo de Twitter y varios enlaces que apuntan a la página real de Twitter.

Sin embargo, para poder aceptar la invitación o saber quién la ha enviado, hay que ejecutar el archivo adjunto. Este archivo contiene una copia del gusano, así que si es ejecutado, el ordenador quedará afectado por Spybot.AKB.

El mensaje de correo en el que llega es como el siguiente:

Mensaje de correo en el que llega Spybot.AKB

Si el usuario descomprime el archivo adjunto de nombre INVITATION CARD.ZIP, verá un archivo que parece ser una imagen por la extensión JPG. Sin embargo, después de varios espacios en blanco aparece la extensión EXE:

Archivo adjunto descomprimido

 

2.- Redes P2P

Para ello, realiza el siguiente proceso:

  • El gusano crea copias de sí mismo en las carpetas compartidas de los siguientes programas P2P:
    eMule
    LimeWire
    Morpheus
    Tesla
    Winmx
    eDonkey
    Bearshare
    Grokster
    Icq
    Kazaa
  • Se copia con los siguientes nombres, haciéndose pasar por aplicaciones interesantes:
    Absolute Video Converter 6.2.exe
    Ad-aware 2010.exe
    Adobe Acrobat Reader keygen.exe
    Adobe Illustrator CS4 crack.exe
    Adobe Photoshop CS4 crack.exe
    Alcohol 120 v1.9.7.exe
    Anti-Porn v13.5.12.29.exe
    AnyDVD HD v.6.3.1.8 Beta incl crack.exe
    AOL Instant Messenger (AIM) Hacker.exe
    AOL Password Cracker.exe
    Ashampoo Snap 3.02.exe
    Avast 4.8 Professional.exe
    BitDefender AntiVirus 2010 Keygen.exe
    Blaze DVD Player Pro v6.52.exe
    Brutus FTP Cracker.exe
    CleanMyPC Registry Cleaner v6.02.exe
    Counter-Strike KeyGen.exe
    Daemon Tools Pro 4.11.exe
    DCOM Exploit.exe
    DivX 5.0 Pro KeyGen.exe
    Divx Pro 7 + keymaker.exe
    Download Accelerator Plus v9.exe
    Download Boost 2.0.exe
    DVD Tools Nero 10.5.6.0.exe
    FTP Cracker.exe
    G-Force Platinum v3.7.5.exe
    Google SketchUp 7.1 Pro.exe
    GoogleUpdates.exe
    Grand Theft Auto IV (Offline Activation).exe
    Half-Life 2 Downloader.exe
    Hotmail Cracker.exe
    Hotmail Hacker.exe
    ICQ Hacker.exe
    Image Size Reducer Pro v1.0.1.exe
    Internet Download Manager V5.exe
    IP Nuker.exe
    Kaspersky AntiVirus 2010 crack.exe
    Kaspersky Internet Security 2010 keygen.exe
    Keylogger.exe
    K-Lite Mega Codec v5.5.1.exe
    K-Lite Mega Codec v5.6.1 Portable.exe
    L0pht 4.0 Windows Password Cracker.exe
    LimeWire Pro v4.18.3.exe
    Magic Video Converter 8 0 2 18.exe
    McAfee Total Protection 2010.exe
    Microsoft Visual Basic KeyGen.exe
    Microsoft Visual C++ KeyGen.exe
    Microsoft Visual Studio KeyGen.exe
    Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.e
    Motorola, nokia, ericsson mobil phone tools.exe
    Mp3 Splitter and Joiner Pro v3.48.exe
    MSN Password Cracker.exe
    Myspace theme collection.exe
    Nero 9 9.2.6.0 keygen.exe
    NetBIOS Cracker.exe
    NetBIOS Hacker.exe
    Norton Anti-Virus 2005 Enterprise Crack.exe
    Norton Anti-Virus 2010 Enterprise Crack.exe
    Norton Internet Security 2010 crack.exe
    Password Cracker.exe
    PDF password remover (works with all acrobat reader).exe
    PDF to Word Converter 3.0.exe
    PDF Unlocker v2.0.3.exe
    PDF-XChange Pro.exe
    Power ISO v4.2 + keygen axxo.exe
    Rapidshare Auto Downloader 3.8.exe
    RapidShare Killer AIO 2010.exe
    sdbot with NetBIOS Spread.exe
    Sophos antivirus updater bypass.exe
    Sub7 2.3 Private.exe
    Super Utilities Pro 2009 11.0.exe
    Total Commander7 license+keygen.exe
    Trojan Killer v2.9.4173.exe
    Tuneup Ultilities 2010.exe
    Twitter FriendAdder 2.1.1.exe
    UT 2003 KeyGen.exe
    VmWare 7.0 keygen.exe
    VmWare keygen.exe
    Website Hacker.exe
    Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
    Windows 2003 Advanced Server KeyGen.exe
    Windows 2008 Enterprise Server VMWare Virtual Machine.exe
    Windows 7 Ultimate keygen.exe
    Windows Password Cracker.exe
    Windows XP PRO Corp SP3 valid-key generator.exe
    Windows2008 keygen and activator.exe
    WinRAR v3.x keygen RaZoR.exe
    Youtube Music Downloader 1.0.exe
    YouTubeGet 5.4.exe
  • De esta manera, otros usuarios que busquen este tipo de programas, lo podrían descargar y ejecutar pensando que se trata de un programa legal cuando en realidad es una copia del gusano.

Otros Detalles  

Spybot.AKB está escrito en el lenguaje de programación Visual C++ v5. Este gusano tiene un tamaño de 419328 Bytes.

Investigación realizada por Aitor Crespo.