Ventajas del Internet .com

Enciclopedia sobre el Internet, Facebook, Youtube y otras aplicaciones web

Por Ángel | 14 May 2011 | 279 views | Comentar |

TR/Dldr.Dracur
Fecha de creación: 40186
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Medio
Potencial de propagación: Medio-alto
Potencial dañino: Medio-alto
Fichero estático: Sí
Tamaño: 1.106.432 Bytes
Suma de control MD5: 3713029A48BD80148E7CEEA23B3C97F0
Versión del IVDF: 7.10.10.26

General Método de propagación:
• No tiene rutina propia de propagación


•Symantec: Trojan.Dropper
•Kaspersky: Trojan-Downloader.Win32.Delf.aczc
•TrendMicro: TROJ_TRACUR.SMDI
•Avast: Win32:Dracur-C
•PCTools: Trojan.Dropper
•Eset: Win32/TrojanDownloader.Agent.QCZ
•GData: Win32:Dracur-C
•AhnLab: Trojan/Win32.Dropper

Plataformas / Sistemas operativos:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
• Windows Vista
• Windows Server 2008
• Windows 7

Efectos secundarios:
• Descarga ficheros dañinos
• Suelta ficheros dañinos
• Modificaciones en el registro

Ficheros Crea los siguientes ficheros:

– Ficheros no maliciosos:
• %APPDATA%\55274-337-1138267-22193976C.manifest
• %APPDATA%\55274-337-1138267-22193976O.manifest
• %APPDATA%\55274-337-1138267-22193976P.manifest
• %APPDATA%\55274-337-1138267-22193976S.manifest

– %TEMPDIR%\23.tmp Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Drop.Dracur

– %SYSDIR%\unrar.exe Además, el fichero es ejecutado después de haber sido creado.
– %SYSDIR%\d3drm32.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.217600.O

– %SYSDIR%\dbnmpntw32.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/BHO.CI

– %SYSDIR%\dfrgui32.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Dracur

– %APPDATA%\SystemProc\lsass.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Dracur

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
• 94.7**********ot/976/frt0.rar
El fichero está guardado en el disco duro en: %SYSDIR%\504293549\0.rar Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
• 94.7**********ot/976/frt1.rar
El fichero está guardado en el disco duro en: %SYSDIR%\504293549\1.rar Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
• 94.7**********ot/976/frt2.rar
El fichero está guardado en el disco duro en: %SYSDIR%\504293549\2.rar Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
• 94.7**********ot/976/frt3.rar
El fichero está guardado en el disco duro en: %SYSDIR%\504293549\3.rar Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
• 94.7**********ot/976/frt4.rar
El fichero está guardado en el disco duro en: %SYSDIR%\504293549\4.rar Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
• 94.7**********ot/976/frt5.rar
El fichero está guardado en el disco duro en: %SYSDIR%\504293549\5.rar Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
• 94.7**********ot/976/frt6.rar
El fichero está guardado en el disco duro en: %SYSDIR%\504293549\6.rar Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
• 94.7**********ot/976/frt7.rar
El fichero está guardado en el disco duro en: %SYSDIR%\504293549\7.rar Además, este fichero es ejecutado después de haber sido completamente descargado.
Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
Run]
• “RTHDBPL”=”%TEMPDIR%\1A.tmp”

Registra un objeto BHO (browser helper object), añadiendo la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{184ED05D-43E6-421D-88B9-2EA810CAE19a}]

Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
• “%WINDIR%\explorer.exe”=”%WINDIR%\explorer.exe:*:Enabled:Windows
Shell”

Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
ac3c8fca976]
• “DllName”=”%SYSDIR%\d3drm32.dll”
• “Startup”=”EventStartup”

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
• “AppInit_Dlls”=”%SYSDIR%\d3drm32.dll”
• “LoadAppInit_DLLs”=dword:00000001

– [HKCR\Dpeuweixsp\CLSID]
• “(Default)”=”{9cfbba5c-879c-42e9-b226-32d0fdae8c90}”

– [HKCR\Dpeuweixsp]
– [HKCR\CLSID\{9cfbba5c-879c-42e9-b226-32d0fdae8c90}]
– [HKEY_USERS\.DEFAULT\Software\Dpeuweixsp\CLSID]
• “(Default)”=”{9cfbba5c-879c-42e9-b226-32d0fdae8c90}”

– [HKEY_USERS\.DEFAULT\Software\Dpeuweixsp]
– [HKEY_USERS\S-1-5-19\Software\Dpeuweixsp\CLSID]
• “(Default)”=”{9cfbba5c-879c-42e9-b226-32d0fdae8c90}”

– [HKEY_USERS\S-1-5-19\Software\Dpeuweixsp]
– [HKEY_USERS\S-1-5-19_Classes\Software\Dpeuweixsp\CLSID]
• “(Default)”=”{9cfbba5c-879c-42e9-b226-32d0fdae8c90}”

– [HKEY_USERS\S-1-5-19_CLASSES\Software\Dpeuweixsp]
– [HKEY_USERS\S-1-5-20\Software\Dpeuweixsp\CLSID]
• “(Default)”=”{9cfbba5c-879c-42e9-b226-32d0fdae8c90}”

– [HKEY_USERS\S-1-5-20\Software\Dpeuweixsp]
– [HKEY_USERS\S-1-5-20_Classes\Software\Dpeuweixsp\CLSID]
• “(Default)”=”{9cfbba5c-879c-42e9-b226-32d0fdae8c90}”

– [HKEY_USERS\S-1-5-20_CLASSES\Software\Dpeuweixsp]
– [HKCU\Software\Dpeuweixsp\CLSID]
• “(Default)”=”{9cfbba5c-879c-42e9-b226-32d0fdae8c90}”

– [HKCU\Software\Dpeuweixsp]
– [HKCR\Software\Dpeuweixsp\CLSID]
• “(Default)”=”{9cfbba5c-879c-42e9-b226-32d0fdae8c90}”

– [HKCR\Software\Dpeuweixsp]
– [HKEY_USERS\S-1-5-18\Software\Dpeuweixsp\CLSID]
– [HKCR\.fsharproj\PersistentHandler]
• “(Default)”=”{338c7215-1763-4076-abe1-36a5f01b4f65}”

– [HKCR\.fsharproj]
– [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main]
• “XMLHTTP_UUID_Default”=hex:5d,d0,4e,18,e6,43,1d,42,88,b9,2e,a8,10,ca,e1,9a

– [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\Main]
• “XMLHTTP_UUID_Default”=hex:5d,d0,4e,18,e6,43,1d,42,88,b9,2e,a8,10,ca,e1,9a

– [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\Main]
• “XMLHTTP_UUID_Default”=hex:5d,d0,4e,18,e6,43,1d,42,88,b9,2e,a8,10,ca,e1,9a

– [HKCU\Software\Microsoft\Internet Explorer\Main]
• “XMLHTTP_UUID_Default”=hex:5d,d0,4e,18,e6,43,1d,42,88,b9,2e,a8,10,ca,e1,9a

– [HKCR\CLSID\{184ED05D-43E6-421D-88B9-2EA810CAE19a}]
– [HKCR\CLSID\{184ED05D-
43E6-421D-88B9-2EA810CAE19a}\InprocServer32]
• “(Default)”=”%SYSDIR%\dbnmpntw32.dll”
• “ThreadingModel”=”Both”

Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

Nombre del proceso:
• %WINDIR%\explorer.exe

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

































































































































































Fuentes

  1. avira.com
Email This Post

Escribe un comentario