| Nombre común: Gimmiv.A
Nombre técnico: Trj/Gimmiv.A
Peligrosidad: Media
Tipo: Troyano
Efectos: Aprovecha la vulnerabilidad MS08-067 en el servicio de servidor de Windows para robar todo tipo de información sobre el usuario y el ordenador afectado, como contraseñas, parches de seguridad instalados, etc. No se propaga automáticamente por sus propios medios.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 24/10/2008
Detección actualizada: 24/10/2008
Estadísticas No
Descripción Breve
Gimmiv.A es un troyano que aprovecha una vulnerabilidad en el servicio de servidor de Windows y que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.
Gimmiv.A está diseñado para robar todo tipo de información del usuario y del ordenador afectado, como las credenciales de MSN y de Outlook, nombre de usuario y de la máquina, información del navegador, entre otras.
Después, envía la información recopilada a un servidor remoto para ponerla a disposición de su creador.
Gimmiv.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación.
Efectos
Gimmiv.A está diseñado para obtener todo tipo de información del usuario y del ordenador afectado. Para ello, aprovecha una vulnerabilidad en el servicio de servidor de Windows que permite ejecutar remotamente código arbitario. Se trata de la vulnerabilidad MS08-067.
Este troyano realiza las siguientes acciones:
Cuando es ejecutado, abre durante unos segundos la ventana de la línea de comandos:
Está diseñado para robar la siguiente información:
- Credenciales de MSN y de Outlook.
- Información protegida.
- Nombre de usuario y de la máquina.
- Parches de seguridad instalados en el ordenador.
- Información del navegador.
- Nombres de usuario y contraseñas introducidas en el navegador.
Además, reduce el nivel de protección del ordenador, ya que finaliza los siguientes programas de seguridad:
BitDefender
Avp.exe
Jiangmin
KasperskyLab
Kingsoft
Symantec
OneCare Protection
Rising
TrendMicro
Dwm.exe
Después, el troyano se conecta a un determinado servidor al que envía toda la información que ha recopilado.
Además, envía información sobre el sistema operativo y el programa de seguridad instalado en el ordenador afectado.
Metodo de Infección
Gimmiv.A crea el archivo SYSMGR.DLL en la carpeta Wbem en el directorio de sistema de Windows.
Gimmiv.A crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ SvcHost\ sysmgr
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ sysmgr\ Parameters\ ServiceDll
%sysdir%\wbem\sysmgr.dll
donde %sysdir% es el directorio de sistema de Windows.
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ sysmgr\ Parameters\ ServiceMain\ ServiceMainFunc
Método de Propagación
Gimmiv.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
Gimmiv.A está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 397312 Bytes.
|
|
