Ventajas del Internet .com

Enciclopedia sobre el Internet, Facebook, Youtube y otras aplicaciones web

Por Ángel | 14 May 2011 | 1,599 views | Comentar |

TR/Dldr.Exchanger.OQ
Fecha de creación: 18/08/2008
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Medio
Fichero estático: Sí
Tamaño: 72.704 Bytes
Suma de control MD5: 598e57c048f4ee0e550aa66324a410c4
Versión del IVDF: 7.00.06.28

General Método de propagación:
• No tiene rutina propia de propagación


•Mcafee: BackDoor-DNM trojan
•Kaspersky: Trojan-Downloader.Win32.Exchanger.oq
•F-Secure: Backdoor:W32/Hupigon.OEA
•Panda: Trj/Dropper.WW
•Grisoft: I-Worm/Nuwar.W
•VirusBuster: Trojan.Agent.DVUQ
•Eset: a variant of Win32/Agent.ETH trojan

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga ficheros dañinos
• Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\CdbgEvtSvc.exe

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
• http://vca.cl/scan**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\641767680.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Fakealert.aah.3

– La dirección es la siguiente:
• http://vca.cl/in_**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\664313440.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Crypt.XPACK.Gen

– La dirección es la siguiente:
• http://vca.cl/pre**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\607883503.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dropper.Gen

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc]
• “Type”=dword:00000010
• “Start”=dword:00000002
• “ErrorControl”=dword:00000001
• “ImagePath”=
• “DisplayName”=”CdbgEvtSvc”
• “ObjectName”=”LocalSystem”

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc\Security]
• “Security”=%número hexadecimal%

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc\Enum]
• “0″=”Root\\LEGACY_CDBGEVTSVC\\0000″
• “Count”=dword:00000001
• “NextInstance”=dword:00000001

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.


Fuentes

  1. avira.com
Email This Post

Escribe un comentario