Bookmarker

Bookmarker, troyano que simula ser ejecutable de "plug-ins" crea accesos a páginas pornográficas, etc.

Troj/Bookmarker

Bookmarker es un pernicioso troyano reportado el 22 de Diciembre del 2003, que ingresa a los sistemas bajo la modalidad de simular ser un ejecutable instalador de "plug-ins" necesario para poder acceder y visualizar ciertas páginas de Internet.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en MS Visual C++ con una extensión de 48 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Una vez ingresado a un sistema se auto-copia al directorio %System% como msconfd.dll, con el atributo de archivo "oculto" y sin intervención del usuario se auto- ejecuta en memoria con el siguiente comando:

rundll32.exe msconfd,Restore

En caso de obtener un número de retorno erróneo muestra la siguiente caja de diálogo.

Para activarse al siguiente re-inicio en Windows 95/98/Me crea la llave siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Desktop" = "rundll32.exe %System%\msconfd.dll,Restore ControlPanel"

Y para los sistemas basados en tecnología NT genera la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Windows]
"AppInit_DLLs" = "%System%\msconfd.dll"

Del mismo modo agrega la siguiente entrada a la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer]
"Desktop" = "[%número%]"

El valor %número% es generado por la fecha-hora del sistema.

Al reiniciarse el equipo, el troyano sobre-escribe la ruta:

%Windir%\system32\drivers\etc\hosts
127.0.0.1 localhost

la misma que es usada por Microsoft para registrar las direcciones URL de Internet y agrega los valores a la siguientes llaves de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://webcoolsearch.com"
"Search Page" = "http://webcoolsearch.com"
"Start Bar" = "http://webcoolsearch.com"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer]
"SearchURL" = "http://webcoolsearch.com"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search]
"SearchAssistant" = "http://webcoolsearch.com"

Al controlar las llaves de registro con las cuales MS Windows administra las direcciones URL de acceso a Internet, el troyano crea en la carpeta \Favoritos varios accesos a páginas pornográficas.

Los payloads de este troyano son los siguientes:

Ingresa a los sistemas bajo la modalidad de simular ser un ejecutable instalador de "plug-ins" necesario para poder acceder y visualizar ciertas páginas de Internet.
Se auto-ejecuta en memoria y muestra un falso mensaje de error.
Modifica varias llaves de registro, algunas asociadas al Internet Explorer.
Crea accesos a un popular portal vinculado a páginas de sexo, opciones sexuales, venta de drogas estimulantes, etc.
Modifica y manipula el programa de control de acceso a páginas web de MS Windows.
Crea accesos a diversos portales pornográficos en la carpeta Favoritos.

PER ANTIVIRUS® versión 8.4 con registro de virus al 22 de Diciembre del 2003 detecta y elimina eficientemente este troyano.