Ventajas del Internet .com

Enciclopedia sobre el Internet, Facebook, Youtube y otras aplicaciones web

Por Ángel | 14 May 2011 | 221 views | Comentar |

TR/Dldr.EbayBill.H
Fecha de creación: 29/08/2006
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Medio-bajo
Potencial de propagación: Medio-bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 14.848 Bytes
Suma de control MD5: fcefcd8761152f5a78adf76f27b4bca7
Versión del VDF: 6.35.01.153
Versión del IVDF: 6.35.01.156
Eurístico: HEUR/Trojan.Downloader

General Método de propagación:
• Correo electrónico


•Sophos: Troj/Clagger-AB

Plataformas / Sistemas operativos:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga un fichero dañino
• Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\ipf.exe

Crea el siguiente fichero:

– %SYSDIR%\drivers\winut.dat
Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• “ifp”=”%SYSDIR%\ipf.exe”

Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
• “windowsshell”=dword:00000001

Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:

El diseño del mensaje de correo:

De: “Telekom”
Asunto: Telekom
Cuerpo del mensaje:
• Guten Tag,
die Gesamtsumme für Ihre Rechnung im Monat August beträgt: 1100 Euro.

Sind Sie Unternehmer und benötigen unsere Rechnung zur Geltendmachung von
Vorsteuerabzug? Bitte beachten Sie dann, dass Sie seit 29.12.2004 die
Möglichkeit haben, Ihre Rechnung per E-Mail mit einer qualifizierten
elektronischen Signatur zu erhalten. Sie können diese im Bereich”persönliche
Einstellungen” aktivieren.
Sollten Sie dem Finanzamt bisher eine von Ihnen zusätzlich beauftragte
Rechnung in Papierform zum Vorsteuerabzug vorgelegt haben, bitten wiraußerdem
zu beachten, dass wir Ihnen diese nur noch in Form eines “Rechungsdoppels”
bieten können, da nur so vermieden werden kann, dass T-Com mehrere
Rechnungsoriginale ausstellt.

Antworten auf Ihre weiteren Fragen zur digitalen Signatur finden Sie auch in
unseren FAQs unter dem Stichwort “Digitale Signatur”.
======================================
RECHNUNG ONLINE – TIPP DES MONATS
Die neuen WünschDirWas Tarife sind jetzt da! Jetzt online anmelden unter
www.t-com.de/reo/WuenschDirWas und bis zu 10,- Euro sparen.
Die aktuellen Top-Angebote der Deutschen Telekom finden Sie unter:
www.t-com.de/aktuell.
======================================

Bei Fragen zu Rechnung Online oder zum Rechnungsinhalt klicken Sie bitteunter
www.t-com.de/rechnung (oben links) auf “Kontakt”.

Mit freundlichen Grüßen
Ihre T-Com

Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
• http://66.235.203.21/~academic/img/**********
• http://sbest.de/deutsch/**********
• http://theblogsolution.com/success/**********
• http://warm.kiev.ua/**********
• http://eji.kiev.ua/**********
• http://www.goofyracing.com/public_html/slidet/kiti99tarjouspyynnot1_files/**********
• http://haglerstudios.com/banner/**********
• http://www.lynnehassell.com/video/**********
• http://iondrive.com/images/**********

Una vez contectado, extraerá una lista suplementaria.
La respuesta del servidor queda escrita en el fichero: %SYSDIR%\winut.dat

Capabilidades de control remoto:
• Descargar fichero

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Fuentes

  1. avira.com
Email This Post

Escribe un comentario