Nombre:TR/Proxy.Lager.AQ.9
Descubierto:07/04/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:51.603 Bytes
Suma de control MD5:4c5251efd0bae37655d169065206519f
Versión del VDF:6.34.00.165

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Packed.Win32.Tibs
   •  VirusBuster: virus Trojan.PR.Lager.Gen!Pac1


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Suelta un fichero
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea los siguientes ficheros:

– Fichero no malicioso:
   • %SYSDIR%\zlbw.dll

– Un fichero temporal, que puede ser eliminado después:
   • %SYSDIR%\log.txt

%SYSDIR%\taskdir.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Proxy.Lager.AQ.1




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://216.255.179.238/new/cntr/bin/**********
El fichero está guardado en el disco duro en: %SYSDIR%\taskdir~.exe Además, este fichero es ejecutado después de haber sido completamente descargado. Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade las siguientes claves al registro:

– [HKEY_CURRENT_USER]
   • "ColorTable19"=dword:%número hexadecimal%
   • "ColorTable20"=dword:%número hexadecimal%

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • 216.255.179.238/new/cntr/**********
   • 69.50.161.106/n/**********
   • 69.50.184.194/n/**********
   • 216.255.179.238/new/cls/**********
   • 81.177.3.175/n/**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.


Envía informaciones acerca de:
    • Nombre del ordenador
    • Estado actual del programa viral


Capabilidades de control remoto:
    • Enviar mensajes de correo

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: taskdir.dll

    Nombre del proceso:
   • %todos los procesos se han iniciado después de que el malware es
      activo en la memoria% 


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • _alanchum

 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:

– Ficheros que contienen la siguiente subcadena en su nombre del fichero:
   • taskdir

– Procesos que contienen la siguiente subcadena en sus nombres:
   • taskdir

– El siguiente valor del registro:
   • taskdir


Método empleado:
    • Oculto en Windows API

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Daniel Constantin el viernes 7 de abril de 2006
Descripción actualizada por Daniel Constantin el miércoles 12 de abril de 2006

Volver . . . .