Spamtoo-U

SPAMTOO-U troyano MultiSPAM spyware y data mining explota tecnología del Winsock 2 de Microsoft.

Troj/SpamToo-U

SpamToo-U es un troyano reportado el 21 de Febrero del 2007, residente en memoria que se propaga en mensajes de correo MultiSPAM usando los programas de Mensajería Instantánea más populares como Yahoo Messenger, MSN Messenger, AOL y servicios de correo basados en la web como Google Mail (Gmail), ComcastWebMail, Care2WebMail, Webmail.tiscali.co.uk, etc.

En forma aleatoria usa los mensajes de correo extraídos en el sistema previamente infectado y los re-envía a través de los servicios mencionados a la lista de usuarios de los mismos bajo la modalidad de SPAM.

SpamToo-U es un archivo espía y recolector de información (data mining) está encriptado y cifrado con rutinas propias, que no permiten detectar a donde envía la información capturada.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/2000/XP y Server 2003, está desarrollado en Visual C++ con un extensión variable, comprimido y cifrado con rutinas propietarias.

Al activarse se copia a las siguientes rutas y con los nombres:

%Temp%\Zupastik.exe (el troyano en sí)
%System%\rsvp32_2.dll (componente del troyano)
%System%\sporder.dll (archivo inócuo)
%Temp%\wallpapers_030226_rover_brodyaga.jpg (archivo gráfico limpio)

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

Luego intenta mostrar en pantalla el archivo wallpapers_030226_rover_brodyaga.jpg con el editor gráfico configurado por defecto. Por un error en su programación, el troyano no logra su cometido.

Para activarse cada vez que se ejecuta un archivo comprimido en la red, el archivo rsvp32_2.dll se registra como un Layered Service Provider (LSP) y crea la siguiente llave de registro:

[HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries]

agrega otros valores a la llave:

[HKLM\SOFTWARE\WinSock2\Buibert]

Consideramos a este troyano MultiSPAM como un experimento de codificadores de virus ya que emplean elementos del propio Microsoft.

http://www.microsoft.com/msj/0599/LayeredService/LayeredService.aspx

Un Layered Service Provider es parte de la interfaz del Winsock 2 de Microsoft Windows que permite agregar muy fácilmente servicios a los protocolos de red locales (LAN) sin necesidad de reemplazar el ws2_32.dll, y es empleada por los proveedores de archivos espía o de publicidad no deseada (Adware) que con frecuencia se comercializan en Internet:

http://www.webhancer.com/

Un Layered Service Provider intercepta los comandos del Winsock 2, antes que éstos sean procesados por el ws2_32.dll, pudiendo de este modo modificarlos, ejecutarlos remotamente o simplemente recolectar infomación (data mining) para filtros e interceptadores de red, archivos espía y adware, así como tambien analizadores de paquetes comprimidos enviados por Internet (Sniffers)

PER ANTIVIRUS® versión 10.0 con registro de virus al 21 de Febrero del 2007 detecta y elimina este troyano.