Ventajas del Internet .com

Enciclopedia sobre el Internet, Facebook, Youtube y otras aplicaciones web

Por Ángel | 14 May 2011 | 1,435 views | Comentar |

TR/Dldr.Exchanger.DW
Fecha de creación: 39790
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Medio-bajo
Potencial de propagación: Bajo
Potencial dañino: Medio
Fichero estático: Sí
Tamaño: 74.752 Bytes
Suma de control MD5: 06bd0701d470475d32c6d98a0c685e4b
Versión del IVDF: 7.00.06.02

General Método de propagación:
• No tiene rutina propia de propagación


•Symantec: Downloader
•Mcafee: BackDoor-DNM trojan
•Kaspersky: Trojan-Downloader.Win32.Exchanger.mn
•TrendMicro: TROJ_AGENT.KBE
•F-Secure: Trojan-Downloader.Win32.Exchanger.mn
•Sophos: Mal/EncPk-DA
•Grisoft: Downloader.Agent.AJFH
•Eset: a variant of Win32/Agent.ETH trojan
•Bitdefender: Trojan.Downloader.Exchanger.Gen.2

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga ficheros dañinos
• Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\CbEvtSvc.exe

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
• http://78.109.19.50/12**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\633968421.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Small.aafu

– La dirección es la siguiente:
• http://78.109.19.50/**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\728739263.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.137216.2.A

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\CbEvtSvc]
• “Type”=dword:00000010
• “Start”=dword:00000002
• “ErrorControl”=dword:00000001
• “ImagePath”=%rutas para copias de malware%
• “DisplayName”=”CbEvtSvc”
• “ObjectName”=”LocalSystem”

– [HKLM\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum]
• “0″=”Root\\LEGACY_CBEVTSVC\\0000″
• “Count”=dword:00000001
• “NextInstance”=dword:00000001

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.


Fuentes

  1. avira.com
Email This Post

Escribe un comentario