Trojan/Magise

Trojan/Magise

Nombre:	Trojan/Magise Alias: Trojan.Magise
Tipo:	Troyano
Tamaño:	Variable
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 5.7 al 22/03/2005

Descripción:

Trojan/Magise, es un troyano que se difunde aprovechando la vulnerabilidad de Microsoft Internet Explorer HTML Help Control Local Zone Security Restriction Bypass, descrito en el boletín de seguridad MS05-001 permitiendo la descarga de archivos desde sitios remotos.

Cuando el troyano se ejecuta intenta copiar el siguiente archivo aprovechando la vulnerabilidad antes mencionada:

[unidad]\help.vbs

Donde: [unidad] es la unidad raíz donde Windows fue instalado, por defecto es la unidad "C:"

Seguidamente intentará descargar un archivo del dominio http://69.50.182.8x/file/loadsp2.exe, dicho archivo es guardado y ejecutado posteriormente en la computadora atacada como:

[unidad]\msearch.dll

Registra el archivo "msearch.dll" como un Browser Helper Object (BHO), se adicionará una barra de búsqueda en el Internet Explorer.

HKEY_CLASSES_ROOT\CLSID\{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}\InprocServer32
"(predeterminado)"="C:\msearch.dll"

HKEY_CLASSES_ROOT\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\InprocServer32
"(predeterminado)"="C:\msearch.dll"

HKEY_CLASSES_ROOT\CLSID\{FFF5092F-7172-4018-827B-FA5868FB0478}\InprocServer32
"(predeterminado)"="C:\msearch.dll"

HKEY_CLASSES_ROOT\TypeLib\{84C94803-B5EC-4491-B2BE-7B113E013B77}\1.0\0\win32
"(predeterminado)"="C:\msearch.dll"

También adiciona las siguientes entradas en el registro:

HKEY_CLASSES_ROOT\CLSID\{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}\InprocServer32
"ThreadingModel"="Apartment"

HKEY_CLASSES_ROOT\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\InprocServer32
"ThreadingModel"="Apartment"

HKEY_CLASSES_ROOT\CLSID\{FFF5092F-7172-4018-827B-FA5868FB0478}\InprocServer32
"ThreadingModel"="Apartment"

HKEY_CLASSES_ROOT\CLSID\{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}\ProgID
"(predeterminado)"="ZToolbar.StockBar.1"

HKEY_CLASSES_ROOT\ZToolbar.StockBar\CurVer
"(predeterminado)"="ZToolbar.StockBar.1"

HKEY_CLASSES_ROOT\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\ProgID
"(predeterminado)"="ZToolbar.activator.1"

HKEY_CLASSES_ROOT\ZToolbar.ParamWr\CurVer
"(predeterminado)"="ZToolbar.activator.1"

HKEY_CLASSES_ROOT\CLSID\{FFF5092F-7172-4018-827B-FA5868FB0478}
"(predeterminado)"="ZToolbar Activator Class"

HKEY_CLASSES_ROOT\ZToolbar.activator.1
"(predeterminado)"="ZToolbar Activator Class"

HKEY_CLASSES_ROOT\ZToolbar.activator
"(predeterminado)"="ZToolbar Activator Class"

HKEY_CLASSES_ROOT\ZToolbar.activator.1\CLSID
"(predeterminado)"="{FFF5092F-7172-4018-827B-FA5868FB0478}"

HKEY_CLASSES_ROOT\ZToolbar.activator\CLSID
"(predeterminado)"="{FFF5092F-7172-4018-827B-FA5868FB0478}"

HKEY_CLASSES_ROOT\ZToolbar.ParamWr.1
"(predeterminado)"="CParamWr Class"

HKEY_CLASSES_ROOT\ZToolbar.ParamWr
"(predeterminado)"="CParamWr Class"

HKEY_CLASSES_ROOT\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}
"(predeterminado)"="CParamWr Class"

HKEY_CLASSES_ROOT\ZToolbar.ParamWr.1\CLSID
"(predeterminado)"="{D7BF3304-138B-4DD5-86EE-491BB6A2286C}"

HKEY_CLASSES_ROOT\ZToolbar.ParamWr\CLSID
"(predeterminado)"="{D7BF3304-138B-4DD5-86EE-491BB6A2286C}"

HKEY_CLASSES_ROOT\ZToolbar.StockBar.1
"(predeterminado)"="ZToolbar"

HKEY_CLASSES_ROOT\ZToolbar.StockBar
"(predeterminado)"="ZToolbar"

HKEY_CLASSES_ROOT\ZToolbar.StockBar.1\CLSID
"(predeterminado)"="{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}"

HKEY_CLASSES_ROOT\ZToolbar.StockBar\CLSID
"(predeterminado)"="{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}"

HKEY_LOCAL_MACHINE\Software\MagicSearchCo\MagicSearch
"DateTimeHigh"="[Valor DWORD]"

HKEY_LOCAL_MACHINE\Software\MagicSearchCo\MagicSearch
"DateTimeLow"="[valor DWORD]"

HKEY_LOCAL_MACHINE\Software\MagicSearchCo\MagicSearch
"DisplayName"="Magic Search Toolbar"

HKEY_LOCAL_MACHINE\Software\MagicSearchCo\MagicSearch
"UninstallString"="regsvr32 /u /s "C:\msearch.dll""

HKEY_CLASSES_ROOT\CLSID\{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}
"(predeterminado)"="Magic Search Toolbar"

HKEY_CLASSES_ROOT\CLSID\{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}\VersionIndependentProgID
"(predeterminado)"="ZToolbar.StockBar"

HKEY_CLASSES_ROOT\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\MiscStatus
"(predeterminado)"="0"

HKEY_CLASSES_ROOT\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\MiscStatus\1
"(predeterminado)"="131473"

HKEY_CLASSES_ROOT\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\ToolboxBitmap32
"(predeterminado)"="C:\msearch.dll, 105"

HKEY_CLASSES_ROOT\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\Version\
"(predeterminado)"="1.0"

HKEY_CLASSES_ROOT\CLSID\{D7BF3304-138B-4DD5-86EE-491BB6A2286C}\VersionIndependentProgID
"(predeterminado)"="ZToolbar.ParamWr"

HKEY_CLASSES_ROOT\CLSID\{FFF5092F-7172-4018-827B-FA5868FB0478}\VersionIndependentProgID
"(predeterminado)"="ZToolbar.activator"

HKEY_CLASSES_ROOT\TypeLib\{84C94803-B5EC-4491-B2BE-7B113E013B77}\1.0\HELPDIR
"(predeterminado)"="C:\"

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar
"{A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB}"="[valor binario]"

El troyano crea las siguientes entradas en el registro

HKEY_LOCAL_MACHINE\Software\Classes\ZToolbar.activator
HKEY_LOCAL_MACHINE\Software\Classes\ZToolbar.activator.1
HKEY_LOCAL_MACHINE\Software\Classes\ZToolbar.ParamWr
HKEY_LOCAL_MACHINE\Software\Classes\ZToolbar.ParamWr.1
HKEY_LOCAL_MACHINE\Software\Classes\ZToolbar.StockBar
HKEY_LOCAL_MACHINE\Software\Classes\ZToolbar.StockBar.1

El troyano se activará cuando Internet Explorer es ejecutado y seguidamente intentará descargar un archivo de configuración e interpretar su contenido desde los siguientes dominios:

www.win-update.net/tb/msearch.xml
www.network-tool.net/tb/msearch.xml

Utiliza los datos del archivo de configuración que se descargo para crear enlaces relacionados a ventanas emergentes de publicidad (popup)

También utiliza el archivo de configuración para dirigir al troyano a que realice acciones de troyano backdoor como:

Descarga y ejecución de archivos.
Enviar información del computador atacado.
Sobrescribir archivos.
Adicionar y modificar entradas en el registro.

Luego sobrescribe el archivo HOSTS que se encuentra en %system%\drivers\etc\, con el siguiente texto:

69.50.182.88 auto.search.msn.com
69.50.182.88 search.msn.com
69.50.182.88 ie.search.msn.com
69.50.136.245 www.madthumbs.com
69.50.136.245 madthumbs.com www.sexocean.com sexocean.com www.cowlist.com cowlist.com
www.easygals.com easygals.com www.muyzorras.com muyzorras.com www.xnxx.com xnxx.com
69.50.136.245 www.pichunter.com pichunter.com www.88by88.com 88by88.com www.rubias19.com
rubias19.com hqgal.com www.hqgal.com petiteteenager.com www.petiteteenager.com
petardas.com www.petardas.com
69.50.136.245 puppykibble.com www.puppykibble.com www.sweetiestgp.com sweetiestgp.com
www.bunnyteens.com bunnyteens.com www.amateurcurves.com amateurcurves.com
thumbzilla.com www.thumbzilla.com
69.50.136.245 sexape.com www.sexape.com picwarehouse.com www.picwarehouse.com
sublimedirectory.com www.sublimedirectory.com fuckk.com www.fuckk.com
youngerbabes.com www.youngerbabes.com 1storgasm.com www.1storgasm.com
slickgalleries.com
69.50.136.245 www.madteenies.com madteenies.com www.slickgalleries.com 10fuck.com
www.10fuck.com smashingthumbs.com www.thumbnailseries.com thumbnailseries.com
goatlist.com www.goatlist.com teentiger.com www.teentiger.com
69.50.136.245 www.worldsex.com worldsex.com www.al4a.com al4a.com www.89.com 89.com
www.thumberland.com thumberland.com www.freeheaven.com freeheaven.com www.spyass.com
spyass.com www.ampland.com ampland.com secretarygalleries.com
69.50.136.245 amandalist.com www.amandalist.com www.absolut-series.com
absolut-series.com lloronas.com www.lloronas.com p0rno.org www.p0rno.org
www.starslist.com starslist.com gigagalleries.com
69.50.136.245 dianapost.com www.dianapost.com www.zadina.com zadina.com www.frogsex.com
frogsex.com teenagesecrets.biz www.teenagesecrets.biz ratemycameltoe.com www.mature-
post.com mature-post.com www.call-kelly.com
69.50.136.245 elreyano.com www.elreyano.com purextc.com www.purextc.com officespy.com
www.officespy.com www.secretarygalleries.com www.gigagalleries.com www.croseries.com
croseries.com www.top-galleries.com top-galleries.com
69.50.136.245 pussy.org www.pussy.org freesmutseries.net www.freesmutseries.net
porno-pics-free.com www.porno-pics-free.com catlist.com www.smashingthumbs.com
call-kelly.com www.boneme.com boneme.com www.series-xxx.com series-xxx.com
69.50.136.245 teeniefiles.com www.teeniefiles.com jpeg4free.com www.jpeg4free.com
www.catlist.com www.ratemycameltoe.com sleazydream.com www.sleazydream.com
www.justacthard.com justacthard.com
69.50.136.245 sexyfotky.cz www.sexyfotky.cz hammervideo.com www.hammervideo.com
rawpussy.com www.rawpussy.com teeniesxxx.com www.teeniesxxx.com porn-view.com
www.porn-view.com dailybasis.com www.dailybasis.com
69.50.136.245 pornstarfinder.net www.pornstarfinder.net jennysbookmarks.com
www.jennysbookmarks.com babes4free.com www.babes4free.com 3pic.com www.3pic.com
www.freefoto.cz freefoto.cz
69.50.136.245 searchgals.com www.searchgals.com picsmonster.com www.picsmonster.com
sublimepie.com www.sublimepie.com pornhelious.com www.pornhelious.com
galleries4free.com www.galleries4free.com

Los sitios que no se pueden encontrar o fueron digitados mal se direccionan a través de un servidor Web malicioso en lugar del portal de Microsoft (auto.search.msn.com) mostrando como resultado paginas de publicidad no solicitadas.

Finalmente muestra como página de inicio del Internet Explorer el siguiente sitio Web www.online-service.cc, sin importar que en las configuraciones del Internet Explorer el usuario tenga configurada otra dirección como página de inicio.