¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Tcom.2
Descubierto:13/12/2012
Tipo:Troyano
Subtipo:Downloader
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Bajo
Fichero esttico:S
Tamao:26.624 Bytes
Suma de control MD5:8e3cf147f6d642b4e0808cec743d856e
Versin del VDF:7.11.53.216

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Symantec: Backdoor.Nibu.L
   •  Mcafee: BackDoor-CCT
   •  Kaspersky: Trojan-Spy.Win32.Agent.fe
   •  TrendMicro: TROJ_DUMADOR.AV
   •  VirusBuster: Backdoor.Dumador.BM


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Reduce las opciones de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\windldra.exe



Elimina el siguiente fichero:
   • %WINDIR%\send_logs_trigger



Crea los siguientes ficheros:

%WINDIR%\netdx.dat Este fichero sirve como indicador para una rutina interna.
%WINDIR%\dvpd.dll
%WINDIR%\prntsvra.dll
%TEMPDIR%\fe43e701.htm En este fichero se registran las pulsaciones de teclado.
%WINDIR%\prntc.log
%WINDIR%\prntk.log

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"



Aade las siguientes claves al registro:

[HKCU\software\sars\]
   • "SocksPort"=dword:%serie de caracteres aleatorios%

[HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

 Ficheros host El fichero host es modificado de la siguiente manera:

En este caso, las entradas existentes quedan sin modificar.

El acceso a los siguientes dominios est bloqueado:
   • www.trendmicro.com
   • trendmicro.com
   • rads.mcafee.com
   • customer.symantec.com
   • liveupdate.symantec.com
   • us.mcafee.com
   • updates.symantec.com
   • update.symantec.com
   • www.nai.com
   • nai.com
   • secure.nai.com
   • dispatch.mcafee.com
   • download.mcafee.com
   • www.my-etrust.com
   • my-etrust.com
   • mast.mcafee.com
   • ca.com
   • www.ca.com
   • networkassociates.com
   • www.networkassociates.com
   • avp.com
   • www.kaspersky.com
   • www.avp.com
   • kaspersky.com
   • www.f-secure.com
   • f-secure.com
   • viruslist.com
   • www.viruslist.com
   • liveupdate.symantecliveupdate.com
   • mcafee.com
   • www.mcafee.com
   • sophos.com
   • www.sophos.com
   • symantec.com
   • securityresponse.symantec.com
   • us.mcafee.com/root/
   • www.symantec.com




El fichero host modificado se ver as:


 Backdoor (Puerta trasera) Abre los siguientes puertos:

%ficheros ejecutados% en un puerto TCP aleatorio para funcionar como servidor proxy.
%ficheros ejecutados% en el puerto TCP 9125 para proporcionar capabilidades de backdoor.


Servidor contactado:
El siguiente:
   • http://222.36.41.**********/system32/logger.php

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogacin HTTP GET en un script PHP.


Enva informaciones acerca de:
     Ficheros de informe creados
     Informaciones acerca de la red
     ID de la plataforma

 Robo de informaciones Intenta robar las siguientes informaciones:

Las contraseas de los siguientes programas:
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

Inicia una rutina de creacin de ficheros log despus de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

 Captura:
     Pulsaciones de teclado
     Informacin de la ventana
     Ventana del navegador
     Informaciones para iniciar sesin

 Inyectar el cdigo viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • Internet Explorer


Descripción insertada por Sergiu Oprea el miércoles 3 de agosto de 2005
Descripción actualizada por Oliver Auerbach el martes 18 de octubre de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.