Virus TR/Dldr.Delf.WN.3 – Trojan eliminar, curar, borrar, antivirus

Por Ángel | 14 May 2011 | 160 views | Comentar |

TR/Dldr.Delf.WN.3
Fecha de creación: 14/11/2005
Clase: Troyano
En circulación (ITW): Sí
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 608.768 Bytes
Suma de control MD5: cb56a5f0e9d9451fdb6ce7a516ec0ba0
Versión del VDF: 6.32.00.156

General Método de propagación:
• No tiene rutina propia de propagación

•Kaspersky: Trojan-Downloader.Win32.Delf.wn

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga ficheros
• Descarga un fichero dañino
• Modificaciones en el registro

FicherosElimina el siguiente fichero:
• %directorio donde se ejecuta el programa viral%\update.ini

Crea los siguientes ficheros:

– Ficheros temporales, que pueden ser eliminados después:
• %directorio donde se ejecuta el programa viral%\tempfile.$$$
• %directorio donde se ejecuta el programa viral%\svchost_

– %directorio donde se ejecuta el programa viral%\lsvchost.dll
– %directorio donde se ejecuta el programa viral%\svchost.dll
– %directorio donde se ejecuta el programa viral%\svchost.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Bancos.iy.1

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
• http://home.img.**********.br/h0/logo.gif
El fichero está guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\logo.gif

– La dirección es la siguiente:
• http://www.atua**********.com/atualiza4/update.ini
El fichero está guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\update.ini

– La dirección es la siguiente:
• http://www.atua**********.com/atualiza4/update.zip
El fichero está guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\update.zip Además, este fichero es ejecutado después de haber sido completamente descargado. Los análisis adicionales indicaron que este fichero es también viral.
Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• “IExplore”=”%directorio donde se ejecuta el programa viral%\IEXPLORE.exe”

Inyectar el código viral en otros procesos –Inyecta el siguiente fichero en un proceso: lsvchost.dll

Nombre del proceso:
• %todos los procesos activos%

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.