| Malwares, Spywares, Virus, Adware
Gripe porcina H1N1 sigue infectado equipos
En estas fechas he detectado que se esta propagando un tipo de virus que utiliza técnicas Backdoor, abriendo puertos locales del Internet para poder descargar más virus e infectar la computadora con muchos más. Este malware cuenta con la posibilidad de encontrar las contraseñas establecidas en su equipo y además de penetrarlas, podemos ver un tema similar como el de Acceso directo de H1N1 infectado.
El enlace infectado esta establecido en Austria, pero el malware proviene de Israel y Brasil,
- hxxp://www.ff-purk.at/GRIPE-SUINA.php
Este archivo php abre un <iframe> para poder descargar el archivo infectado GRIPE-H1-N1.exe. A continuación dejaré un breve análisis que se le hizo a este malware.
Al ejecutar por primera vez el archivo GRIPE-H1-N1.exe creá los siguientes archivos:
- %Windir%systemAviraScanner.exe
- %Windir%Tempscs3.tmp
- %Windir%Tempscs6.tm
%Windir% se refiere a la carpeta de instalación de Windows. Por defecto, esta es C:Windows o C:Winnt.
Posteriormente abre el puerto 1035 (UDP) e inyecta en el archivo remoto host abriendo el puerto 80 la siguiente IP
| IP Remota | N. de puerto |
| 194.0.252.241 | 80 |
Ya abriendo el puerto, este abre una URL para visualizar la siguiente imagen y descargar un archivo infectado:
- hxxp://194.0.252.245/images/cancel_f3.png
La imagen automáticamente descargará el siguiente archivo y lo alojará en la carpeta Windows:
- %Windir%systemwinapp.exe
Y al ejecutarse el archivo winapp.exe, creará los siguientes archivos infectados:
- %System%h4714log.txt
- %System%owner.exe
- C:%nombredecomputadora%.leet
- Cwinhelp.txt
- C:winx.log
%nombredecomputadora% se refiere al nombre del equipo actual.
%System% se refiere a la carpeta System o System32
Posteriormente se inhabilitan los siguientes servicios:
- ALG (Application Layer Gateway Service – alg.exe)
- SharedAccess (Windows Firewall/Internet Connection Sharing ICS - svchost.exe -k netsvcs)
Información acerca del archivo provocador:
- Nombre del archiv: GRIPE-H1-N1.exe
- Peso del archivo: 226 KB (230912 bytes)
- MD5: 43ad352dfc8cf6f3a391f12bd77d1db6
- Análisis por Virustotal: 17/40 Antivirus lo detectaron a la fecha
- Imagen:
3 comentarios
Información Bitacoras.com…
Valora en Bitacoras.com: En estas fechas he detectado que se esta propagando un tipo de virus que utiliza técnicas Backdoor, abriendo puertos locales del Internet para poder descargar más virus e infectar la computadora con muchos más. Este malware …
muy interesante tu analisis
Hola danker,
Muchas gracias, gracias por la visita!!!.
Salu2