Ventajas del Internet .com

Enciclopedia sobre el Internet, Facebook, Youtube y otras aplicaciones web

Por Ángel | 14 May 2011 | 222 views | Comentar |

TR/Dldr.EbayBill.G.1
Fecha de creación: 22/08/2006
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Medio
Potencial de propagación: Bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 5.637 Bytes
Suma de control MD5: f2e29b0e7be76aeaded42f766ec5da10
Versión del VDF: 6.35.01.125
Versión del IVDF: 6.35.01.128

General Método de propagación:
• No tiene rutina propia de propagación


•Kaspersky: Trojan-Downloader.Win32.Small.dog
•TrendMicro: TSPY_BZUB.AE
•F-Secure: Trojan-Downloader.Win32.Small.dog
•Sophos: Troj/DwnLdr-FDR
•Eset: Win32/TrojanDownloader.Agent.NGQ

Plataformas / Sistemas operativos:
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga un fichero dañino
• Modificaciones en el registro
• Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\%archivo o directorio existente%%letra%.exe

Intenta descargar un fichero:

– Las direcciones son las siguientes:
• http://spbfp.atlant.ru/sys/**********
• http://dreadwolf.net/**********
• http://docslv.com/gallery/bridge/**********
• http://81.95.147.138/**********
• http://soloaguia.com/imagens/**********
• http://spbfp.atlant.ru/sys/sys/**********
• http://dynafilmes.com.br/imagens/3/**********
• http://leads4sales.co.uk/images/main/**********
• http://jobundfit.de/images/**********
• http://feldvossundpartner.de/images/**********
• http://mkpicture.de/images/**********
• http://trendbusiness-at-home.de/images/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.
Registro Las siguientes claves del registro se encuentran en un bucle infinito, añadido para ejecutar los procesos al reiniciar el sistema.

–[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• “:=7%SYSDIR%\%archivo o directorio existente%%letra%.exe”

–[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• “:=7%SYSDIR%\%archivo o directorio existente%%letra%.exe”

Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Ole]
• “:=7%SYSDIR%\%archivo o directorio existente%%letra%.exe”

– [HKCU\Software\Microsoft\OLE]
• “:=7%SYSDIR%\%archivo o directorio existente%%letra%.exe”

Inyectar el código viral en otros procesos – Se inyecta en un proceso.

Nombre del proceso:
• %SYSDIR%\svchost.exe

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• FSG


Fuentes

  1. avira.com
Email This Post

Escribe un comentario