Nombre:TR/Proxy.Ranky.FX
Descubierto:11/10/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:20.316 Bytes
Suma de control MD5:1342121bddb75852aa06e6965165dbd8
Versión del VDF:6.35.01.196
Versión del IVDF:6.35.01.200 - viernes 8 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Proxy-FBSR trojan
   •  Kaspersky: Trojan-Proxy.Win32.Ranky.fx
   •  TrendMicro: TROJ_RANKY.LB
   •  Sophos: Troj/Ranky-AH
   •  Eset: Win32/TrojanProxy.Ranky
   •  Bitdefender: BehavesLike:Win32.Backdoor


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Intenta descargar un fichero:

– Las direcciones son las siguientes:
   • http://rogerr.homeunix.net/**********
   • http://roger.bounceme.net/**********
   • http://vcdf.hopto.org/**********
   • http://dnsme.mine.nu/**********
   • http://omygodd.net/**********
El fichero está guardado en el disco duro en: c:\dfsafasf Además, este fichero es ejecutado después de haber sido completamente descargado. Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro La siguiente clave del registro se encuentra en un bucle infinito, añadido para ejecutar el proceso al reiniciar el sistema.

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Rolcopteur"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%directorio donde se ejecuta el programa viral%\%ficheros ejecutados% en un puerto TCP aleatorio para funcionar como servidor proxy.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • AllAlone

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Monica Ghitun el miércoles 11 de octubre de 2006
Descripción actualizada por Monica Ghitun el miércoles 11 de octubre de 2006

Volver . . . .