Detección agregada	15 nov 2007 14:38 GMT
Actualización lanzada	28 oct 2008 10:38 GMT
Descripción agregada	02 jun 2009
Comportamiento	Worm

• Detalles técnicos
• Daños
• Instrucciones de eliminación

Gusano que roba las contraseñas del usuario. Es un programa para Windows (fichero PE-EXE). Su tamaño es de 97788 bytes. Está escrito en C++.

Instalación

Al ejecutarse, el troyano copia su cuerpo al directorio de Windows bajo el nombre "avpo.exe":

Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:

Modos de difusión

El gusano copia su fichero ejecutable a todos los discos extraíbles usando el nombre “ntdelect.com”:

Después, crea un fichero “autorun.inf” en la raíz de cada directorio.

Este fichero hace que el gusano se ejecute cada vez que el usuario abre con el Explorador un sector infectado.

donde <X> es la letra de la partición.

El gusano asigna el atributo “oculto” a todos los ficheros creados.

El gusano extrae de su cuerpo una biblioteca dinámica DLL llamada “avpo0.dll”:

A continuación, se le asigna al fichero el atributo “oculto”.

Este fichero es de 31455 bytes y Kaspersky Anti-Virus lo detecta como Packed.Win32.NSAnti.r

Esta biblioteca se incrusta en todos los procesos iniciados en el sistema y empieza a interceptar las pulsaciones de teclas en el siguiente proceso:

De esta manera, el gusano trata de robar la información de las cuentas de los jugadores del juego:

Maple Story

Además, el gusano analiza los ficheros de configuración de este juego y trata de extraer la información sobre las cuentas del jugador en los servidores de juego.

La información recogida se envía al sitio de los delincuentes en la solicitud HTTP:

Además, el gusano extrae de su cuerpo un driver y lo escribe en el catálogo del usuario activo de Windows bajo un nombre aleatorio:

donde <rnd> es una secuencia fortuita de cifras y letras del alfabeto latino, por ejemplo "qb4y9wm”.

Este fichero es de 21810 bytes y Kaspersky Anti-Virus lo detecta como Rootkit.Win32.Vanti.gl

Más adelante, copia el driver al directorio de Windows bajo el nombre “wincab.sys”:

Para ejecutar el driver, el gusano usa el siguiente servicio:

El driver termina los siguientes procesos:

KAV
RAV
AVP
KAVSVC

También oculta los ficheros, procesos y llaves del registro que contienen en su nombre la subsecuencia “wincab” por medio de la suplantación de los procesadores de las siguientes funciones:

en eKeServiceDescriptorTable.

El gusano modifica los valores de las siguientes llaves del registro:

De esta manera, se deshabilita la visualización de los ficheros ocultos y se habilitan las funciones de inicio automático.

Además, el gusano descarga un fichero desde la siguiente URL:

El fichero descargado se guarda en catálogo del sistema de Windows bajo el nombre "help.exe":

Después de guardar el fichero, se lo ejecuta.
En el momento de la creación de esta descripción, el enlace a la dirección mencionada no funcionaba.

El gusano elimina del RAM los siguientes procesos:

rtsniff.exe
packetcapture.exe
peepnet.exe
capturenet.exe
wireshark.exe
aps.exe

Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:

1. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
2. Eliminar los siguientes archivos:

   %System%\avpo.exe
   %System%\avpo0.dll
   %System%\wincab.sys
   %System%help.exe

3. Borrar el contenido del directorio temporal (%Temp%).
4. Reiniciar el equipo.
5. Eliminar los siguientes parámetros de la llave del registro:
   [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   "avpa" = "%System%\avpo.exe"
   
   [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL] "CheckedValue" = "0"
   
   [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "Hidden" = "2"
   
   [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   "ShowSuperHidden" = "0"
   
   [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Pocilies\Explorer]
   "NoDriveTypeAutoRun" = "91"
6. Borrar el catálogo %Archivos temporales de Internet%.
7. Eliminar de todos los discos los ficheros:

   X:\ntde1ect.com
   X:\autorun.inf

   donde <X> es la letra de la partición.

8. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).