FeedTR/Dldr.Exchanger.W
Fecha de creación: 23/09/2008
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 30.208 Bytes
Suma de control MD5: 5999ab88560bcb054e73e4f7a4e7f1e7
Versión del IVDF: 7.00.06.199
General Método de propagación:
• Autorun feature (es)
•Panda: Trj/Agent.MFB
•Eset: Win32/AutoRun.FakeAlert.M
•Bitdefender: Win32.Worm.Autorun.OG
Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Descarga un fichero dañino
• Suelta ficheros dañinos
• Modificaciones en el registro
Ficheros Se copia a sí mismo en las siguientes ubicaciones:
• %PROGRAM FILES%\Microsoft Common\svchost.exe
• \system.exe
Sobrescribe un fichero.
– %SYSDIR%\drivers\aec.sys
Elimina la copia inicial del virus.
Crea el siguiente fichero:
– \autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
•
Intenta descargar un fichero:
– Las direcciones son las siguientes:
• http://druzg.ru/**********?v=1&rs=4230819808&n=1&uid=1
• http://drizg.ru/**********?v=1&rs=4230819808&n=1&uid=1
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.
Registro Añade la siguiente clave al registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\explorer.exe]
• “Debugger”=”%PROGRAM FILES%\Microsoft Common\svchost.exe”
Inyectar el código viral en otros procesos – Se inyecta a sí mismo como hilo de ejecución remoto en un proceso.
Los siguientes procesos:
• explorer.exe
• svchost.exe
Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.
Fuentes
- avira.com
Sponsored Links
Publicidad
