Nombre:TR/Dldr.Banker.GA.1
Descubierto:25/07/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:42.496 Bytes
Suma de control MD5:06bf129bba13d220406a6ce5739d63a1
Versión del VDF:6.35.01.000
Versión del IVDF:6.35.01.000

 General Alias:
   •  Symantec: Infostealer.Snifula
   •  Kaspersky: Trojan-Spy.Win32.Small.gf
   •  Sophos: Troj/FireSpy-A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Suelta ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\138762763.exe



Añade una sección al fichero.
– Para: %APPDATA%\Mozilla\Firefox\Profiles\%serie de caracteres aleatorios de ocho dígitos%.default\extensions.ini Con el siguiente contenido:
   • [ExtensionDirs]
     Extension0=%APPDATA%\Mozilla\Firefox\Profiles\5yxkpuhr.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf




Crea los siguientes ficheros:

%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.xpt
%PROGRAM FILES%\Mozilla Firefox\Components\AppInterConn.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.SN.4

– %APPDATA%\Mozilla\Firefox\Profiles\%serie de caracteres aleatorios de ocho dígitos%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\install.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%serie de caracteres aleatorios de ocho dígitos%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome.manifest
– %APPDATA%\Mozilla\Firefox\Profiles\%serie de caracteres aleatorios de ocho dígitos%.default\extensions\{1d58a41c-b1a5-4c8f-94bf-6350f2809b06}\chrome\numberedlinks.jar
– %APPDATA%\Mozilla\Firefox\Profiles\%serie de caracteres aleatorios de ocho dígitos%.default\chrome\overlayinfo\browser\content\overlays.rdf
– %APPDATA%\Mozilla\Firefox\Profiles\%serie de caracteres aleatorios de ocho dígitos%.default\chrome\chrome.rdf

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • "stup"="%SYSDIR%\138762763.exe"



Añade la siguiente clave al registro:

– HKCU\Software\keys
   • "k2"=%número hexadecimal%
   • "k1"=%número hexadecimal%

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • 81.95.147.107/cgi-bin/**********

Esto se realiza mediante una interrogación HTTP GET en un script CGI.


Envía informaciones acerca de:
    • Las informaciones recolectadas, descritas en la sección

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • %cualquier sitio web que contiene un formulario de
      autentificación%

– Captura:
    • Informaciones para iniciar sesión

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • kjhskdhkjshfd_Mutex

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Bogdan Iliuta el viernes 28 de julio de 2006
Descripción actualizada por Bogdan Iliuta el lunes 31 de julio de 2006

Volver . . . .