Virus TR/Dldr.DNSChan.R.5 – Trojan eliminar, curar, borrar, antivirus

TR/Dldr.DNSChan.R.5
Fecha de creación: 19/07/2006
Clase: Troyano
En circulación (ITW): Sí
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 424.718 Bytes
Suma de control MD5: e37b629209303088e9151bb66e7ad4d6
Versión del VDF: 6.35.00.28
Versión del IVDF: 6.35.00.35

General Método de propagación:
• No tiene rutina propia de propagación

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Suelta ficheros
• Suelta un fichero dañino
• Modificaciones en el registro

FicherosCrea la siguiente carpeta:
• %PROGRAM FILES%\KillAndClean

Crea los siguientes ficheros:

– Ficheros no maliciosos:
• %PROGRAM FILES%\KillAndClean\KillAndClean.exe
• %PROGRAM FILES%\KillAndClean\sac.ico
• %PROGRAM FILES%\KillAndClean\uninstall.exe
• %HOME%\Desktop\Kill & Clean Scanner and Monitor.lnk
• %HOME%\Start Menu\Programs\Kill & Clean\Kill & Clean.lnk
• %HOME%\Start Menu\Programs\Kill & Clean\Uninstall.lnk

– %APPDATA%\kc.tmp Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
• “wotmp”

– %PROGRAM FILES%\KillAndClean\wover.dat Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
• “20050115″

– %PROGRAM FILES%\KillAndClean\warez.dat
– %PROGRAM FILES%\KillAndClean\KillAndCleanUpdate.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: ADSPY\KillClean.A

Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• “KillAndClean”=”\”%PROGRAM FILES%\KillAndClean\KillAndClean.exe\”"

Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\KillAndClean]
• “Install_Dir”=”%PROGRAM FILES%\KillAndClean”

– [HKCU\Software\KillAndClean]
– [HKCU\Software\KillAndClean\Options]
• “AutoScanOnStartup”=”1″
• “StartWithWindows”=”1″
• “EnableMonitor”=”1″

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
KillAndClean]
• “DisplayName”=”KillAndClean”
• “UninstallString”=”\”%PROGRAM FILES%\KillAndClean\uninstall.exe\”"
• “NoModify”=dword:00000001
• “NoRepair”=dword:00000001

– [HKCU\Software\Microsoft\Internet Explorer\Extensions\
{BF69DF00-2734-477F-8257-27CD04F88779}]
• “Default Visible”=”Yes”
• “ButtonText”=”Start spyware remover”
• “CLSID”=”{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}”
• “Icon”=”%PROGRAM FILES%\KillAndClean\sac.ico”
• “HotIcon”=”%PROGRAM FILES%\KillAndClean\sac.ico”
• “Exec”=”%PROGRAM FILES%\KillAndClean\KillAndClean.exe”
• “MenuText”=”Start spyware remover”
• “MenuStatusBar”=”Start spyware remover”

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• Nullsoft PiMP