Nombre:TR/Proxy.Mitgl.DQ.1
Descubierto:15/08/2005
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:9.056 Bytes
Suma de control MD5:14c6230994fc57492f56182592cd255b
Versión del VDF:6.31.1.52

 General Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Mitglieder.dq
   •  VirusBuster: Trojan.DL.Agent.ST
   •  Bitdefender: Trojan.Proxy.Mitglieder.DQ


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Suelta un fichero
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\msnethlp32.exe
   • %SYSDIR%\msnethlp32.dll



Crea el siguiente fichero:

%SYSDIR%mscore.bin

 Backdoor (Puerta trasera) Abre los siguientes puertos:

%WINDIR%\explorer.exe en un puerto TCP aleatorio para funcionar como servidor proxy.
%WINDIR%\explorer.exe en un puerto TCP aleatorio para funcionar como servidor proxy.


Servidor contactado:
Uno de los siguientes:
   • www.manwithn**********e.biz/cgi-bin/get.cgi
   • www.in**********e.net/cgi-bin/get.cgi
   • www.shivaspace**********logy.cn/cgi-bin/get.cgi
   • www.trymyg**********.com/cgi-bin/get.cgi

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script CGI.


Envía informaciones acerca de:
    • El tipo de conexión a Internet
    • Estado actual del programa viral
    • Informaciones acerca de la red
    • Puerto abierto
    • ID de la plataforma
    • Hora del sistema
    • Informaciones acerca del sistema operativo Windows

 Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • explorer.exe


 Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:
   • www.manwithnoname.biz
   • www.intlive.net
   • www.shivaspacetechnology.cn
   • www.trymygift.com

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG 1.3

Descripción insertada por Victor Tone el lunes 15 de agosto de 2005
Descripción actualizada por Victor Tone el viernes 26 de agosto de 2005

Volver . . . .