Gliders - Nuevos troyanos se envían por spam

Nombre: Glider.H
Alias: TrojanDropper.Win32.Small.kv,
TrojanDownloader.Win32.Agent.cj

Nombre:Glider.I
Alias:Trojan.Win32.Glieder.i, W32/Glieder.I
Alias:TrojanDropper.Win32.Small.kv, TrojanDownloader.Win32.Agent.cj

Resumen

El día 31 de agosto se envío de manera masiva un correo con un troyano llamado Glider.H o también Glider.I, el cual en un principio se nombro como bagle AK, sin embargo después de analizar el mismo se verifico que este no es una versión diferente de bagle, sino de Glider.

Descripción detallada

Este troyano se envió con mensajes que contenían un archivo llamado FOTO.ZIP, en el cual se encuentra un archivo HTML y un archivo EXE llamado FOTO.EXE o CALC.EXE este ejecutable es un dropper, deja y activa un archivo DLL que elimina procesos que corresponden a componentes de actualización de diferentes programas antivirus, los procesos que elimina son:

ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
UPGRADER.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE

Posteriormente trata de conectarse a 11 diferentes sitios de Internet, desde donde descarga un archivo BJPG , el URL al cual se conecta se encuentra en el cuerpo del programa.

Además, coloca DORIOT.EXE en la carpeta de sistema de Windows y añade entradas en el registro:

HKLM\Software\Microsoft\CurrentVersion\Run HKCU\Software\Microsoft\CurrentVersion\Run

para asegurarse que el archivo GDQFW.EXE se ejecute al inicio también en la carpeta de sistema de Windows.

Detección:

F-Secure cuenta con la actualización desde el 31 de agosto para este nuevo código maliciosos, recuerde mantener actualizado su antivirus y evitar abrir correos que contengan anexos que no esta esperando.