Troj/Admincash, Downloader.Admincash
Admincash es un nocivo troyano reportado el 20 de Enero del 2005, que infecta con un archivo de nombre Soft.exe el cual actúa como "dropper" que libera un archivo de nombre aleatorio con extensión .EXE.

Es transmitido en forma directa a través de diversos servicios de Internet, como Telnet, HTTP, IRC (Internet Chat Relay), redes de archivos compartidos Peer to Peer, etc.

Infecta el Explorador de Windows, deshabilita los controles de seguridad de Windows y se conecta a un sitio web ubicado en Chipre desde el cual descargará archivos Adware y nocivos Dialers (discadores)

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está escrito en Visual C++, compilado pero no comprimido.

Ingresado al sistema se auto-copia al directorio %System% como:

* Soft.exe
* nombre_aleatorio].exe

y para no volverse a ejecutar en los sistemas infectados el troyano crea los mutex de nombre "BeavisMutex" y "ButtheadMutex"

Luego crea las siguientes sub-claves:

HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}
HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"Web Service" = "%System%\[nombre_aleatorio].exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"Web Service" = "%System%\[nombre_aleatorio].exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"run" = "%System%\soft.exe"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"run" = "%System%\soft.exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para deshabilitar los controles de seguridad de Windows crea las siguientes llaves:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = "0x00000001"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = "0x00000001"

agrega el valor:

"EnableFirewall" = "0x00000001"

a las sub-llaves de registro:

[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
[HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

agrega los valores:

"NoAutoUpdate" = "0x00000001"
"AUOptions" = "0x00000001"

a las llaves de registro:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU

y agrega estos valores:

"FirewallDisableNotify" = "0x00000001"
"UpdatesDisableNotify" = "0x00000001"
"AntiVirusDisableNotify" = "0x00000001"

a las sub-claves:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Security Center
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

Para infectar el Explorador de Windows copia los siguientes archivos al directorio %Windir%:

* explorer.new
* wininit.ini

Luego sobre escribe su código viral a %Windir%\explorer.exe.

Se conecta a un dominio perteneciente a Chipre:

http://www.admin2cash.biz

desde el cual descargará varios archivos Adwares y Dialers.