Ventajas del Internet .com

Enciclopedia sobre el Internet, Facebook, Youtube y otras aplicaciones web

Por Ángel | 14 May 2011 | 143 views | Comentar |

TR/Dldr.Dluca.BY.55
Fecha de creación: 14/07/2006
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 30.208 Bytes
Suma de control MD5: 5e14188638ffd2a220d34f1a57072aca
Versión del VDF: 6.35.01.86
Versión del IVDF: 6.35.01.87

General Método de propagación:
• No tiene rutina propia de propagación


•Kaspersky: Trojan-Downloader.Win32.Dluca.by

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga un fichero dañino
• Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\sncntr.exe

Elimina la copia inicial del virus.

Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
• %SYSDIR%\sncntr.exe
Ejecuta el fichero con los parámetros siguientes: -kill %directorio donde se ejecuta el programa viral%\%ficheros ejecutados% /install

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
• sncntr = “%SYSDIR%\sncntr.exe /nocomm”

Añade la siguiente clave al registro:

– HKCU\Software\sncntr
• Info = “Use Add/Remove Programs in Control Panel to Uninstall”

– HKLM\Software\Microsoft\Windows\Currentversion\Uninstall\sncntr
• DisplayIcon = “%SYSDIR%\sncntr.exe”
• DisplayName = “sncntr”
• UninstallString = “%SYSDIR%\sncntr.exe /uninstall”

Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
• w.hqwmdjejtudlk-dfjkeid.com/wk/**********
• www.zxcvbnmjkl.com/wk/**********

Esto se realiza mediante una interrogación HTTP GET en un script CGI.

Envía informaciones acerca de:
• Informaciones acerca del sistema operativo Windows

Capabilidades de control remoto:
• Descargar fichero
• Visitar un sitio web

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• vmx38Fg45

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• PE Pack


Fuentes

  1. avira.com
Email This Post

Escribe un comentario