Nombre:TR/Hijack.Explor.687
Descubierto:03/11/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:115.712 Bytes
Suma de control MD5:917bf66378af965035c5a17b098978a7
Versión del VDF:6.36.00.146
Versión del IVDF:6.36.00.163 - miércoles 25 de octubre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Spy.Win32.Delf.tl
   •  Eset: Win32/PSW.Delf.NDL
   •  Bitdefender: Win32.ExplorerHijack


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • C:\gameload.dll
   • %WINDIR%\love.exe



Crea los siguientes ficheros:

– Un fichero temporal, que puede ser eliminado después:
   • C:\ali.html

%WINDIR%\winctrlc.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: 2686

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "startup"="%WINDIR%\love.exe"



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "dumbnod"="SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
   • "myloc"="startup"

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %WINDIR%\winctrlc.dll

    Nombre del proceso:
   • iexplore.exe


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Monica Ghitun el viernes 3 de noviembre de 2006
Descripción actualizada por Monica Ghitun el lunes 20 de noviembre de 2006

Volver . . . .