| Trojan/Hobframe |
|
| Nombre: |
Trojan/Hobframe Alias: Trojan.Hobframe |
| Tipo: | Troyano |
| Tamaño: | 57,344 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.2 al 03/01/2008. |
Descripción:
Trojan/Hobframe, troyano que al ejecutarse crea los siguientes archivos:
Nota:
- %windir% representa la carpeta de Windows (Ej. C:\WINDOWS, C:\WINNT).
Luego el troyano registra esta DLL como un Browser Helper Object del Internet Explorer creando las siguiente sub-llaves de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CE7C3CF0-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CE7C3CEF-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEHlprObj.IEHlprObj
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CE7C3CF0-4B15-11D1-ABED-709549C10000}
También crea las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\New Windows\Allow
"1.zzcoke.com" = ""
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CE7C3CF0-4B15-11D1-ABED-709549C10000}\iexplore
"Type" = "3"
"Count" "3"
"Time" = "D8 07 01 00 04 00 03 00 0B 00 2C 00 2E
00 E4 01"
Logrando insertar un "iframe" (marco incorporado capáz de cargar otra página web) en cada página web solicitada por el Internet Explorer. Este "iframe" trata de cargar una página web con la siguiente dirección:
Seguidamente el troyano descarga varios archivos que contienen "exploits" (programa o trozo de código que explota vulnerabilidades) de tipo página web.
Finalmente el troyano trata de descargar y ejecutar un archivo potencialmente peligroso de la siguiente dirección web:
Derechos reservados 1992/2008 HackSoft S.R.L. Lima-Perú