Nombre:TR/TComBill.O
Descubierto:21/04/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:10.240 Bytes
Suma de control MD5:79a56b6e3fdaf3d7fa6950e754cfa348
Versión del VDF:6.34.00.214

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Small.coq
   •  TrendMicro: TROJ_DLOADER.DAY
   •  Bitdefender: Trojan.Downloader.Small.COQ


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Elimina la copia inicial del virus.



Crea el siguiente fichero:

%SYSDIR%\sysldr.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/TComBill.O.2

 Registro Elimina del registro de Windows el valor de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • sysldr



Añade la siguiente clave al registro:

– [HKCR\CLSID\{%CLSID generados%}\InprocServer32]
   • @ = sysldr.dll



Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
   ShellServiceObjectDelayLoad]
   Nuevo valor:
   • sysldr = {%CLSID generados%}

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • http://dynafilmes.com.br/imagens/**********
   • http://soloaguia.com/imagens/**********
   • http://www.chiefmar.com/Images/**********
   • http://www.computerideasrl.it/immagini/**********
   • http://www.barpel.it/images/**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Envía informaciones acerca de:
    • Estado actual del programa viral


Capabilidades de control remoto:
    • Descargar fichero
    • Ejecutar fichero

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\sysldr.dll

    Nombre del proceso:
   • svchost.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Gherman el martes 25 de abril de 2006
Descripción actualizada por Andrei Gherman el martes 25 de abril de 2006

Volver . . . .