General
EL Pushbot.VR es un gusano que se propaga a través de Facebook, Messenger y Skype por medio de enlaces que lo re direccionan a servidores donde se descarga el malware. Es una variante de la familia Pushbot.
Se puede detectar por medio de enlaces falsos o que no fueron digitados por el usuario en el muro del Facebook (a través de las cookies almacenadas) o en las conversaciones de Messenger o Skype.
SHA256: 8cd14389bb78c96e20b147fd02728a1cc1d089e876ebbb535798670282ee6595
SHA1: 8284814c5c5cb0f37fe200b918b65ef89c259a0a
MD5: 3e50b76c0066c314d224f4fd4cbf14d5
Tamaño: 112.5 KB ( 115204 bytes )
TrID:
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
Deteccion:
34/42 (VirusTotal)
Fecha del analisis: 2012-08-21
Alias:
AVG |
Dropper.Generic6.ACEP |
BitDefender |
Trojan.Agent.AVUG |
Comodo |
UnclassifiedMalware |
Kaspersky |
Trojan.Win32.Agent.soqa |
McAfee |
Generic PWS.zr |
McAfee-GW-Edition |
Generic PWS.zr |
Microsoft |
Worm:Win32/Pushbot.VR |
Norman |
W32/Pushbot.AN |
Sophos |
W32/Pushbot-Z |
Symantec |
Trojan.Gen |
|
|
Información del archivo en ejecución
|
El dropper extrae dos nuevos archivos con nombres aleatorios en las rutas:
C:\Documents and Settings\Administrador\Configuración local\Datos de programa
C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio
|
|
|
|
Modificaciones en el registro de Windows
|
|
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Run\maxtvhm: "C:\Documents and Settings\Administrador\Configuración local\Datos de programa\kojkeq.exe"
|
|
Información de red
|
|
Genera las siguientes peticiones DNS
|
|
Se envía información de configuración del PC afectado como:
Dirección IP
Versión del Sistema Operativo
Información de los discos duros
Página de inicio del browser
La versión del browser instalado por defecto
|
|
Una vez los datos han sido enviados, el servidor responde con opciones de configuración cifradas y realiza las siguientes acciones:
Descarga archivos arbitrarios
Cambia la página de inicio de los browsers instalados
|
|
