Nombre:TR/Dldr.Banload.aoo.62
Descubierto:27/11/2006
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:207.360 Bytes
Suma de control MD5:6ff39a81cf318ca465a1460349bfd2a6
Versión del VDF:6.36.00.146
Versión del IVDF:6.36.00.163 - miércoles 25 de octubre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: PWS-Banker.dldr
   •  Kaspersky: Trojan-Downloader.Win32.Banload.aoo
   •  Grisoft: Downloader.Generic2.UIW
   •  Eset: Win32/TrojanDownloader.Banload.AOO


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\wzip32.exe




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www.yourmaclife.com/forum/includes/**********
El fichero está guardado en el disco duro en: %TEMPDIR%\$$$.temp Además, este fichero es ejecutado después de haber sido completamente descargado. Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

– Las direcciones son las siguientes:
   • http://www.kosova.ch/share/files/132/**********
   • http://www.bulk-upload.com/files/19/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "WinZip"="\"%SYSDIR%\wzip32.exe\""



Registra un objeto BHO (browser helper object), añadiendo la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
   Browser Helper Objects\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]


Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Internet Explorer\Download]
   • "CheckExeSignatures"="no"
   • "RunInvalidSignatures"=dword:00000001

– [HKCR\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}]
   • @=""

– [HKCR\CLSID\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}\InprocServer32]
   • @="%SYSDIR%\mpeg4dec0.dll"
   • "ThreadingModel"="Apartment"

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PC Shrinker

Descripción insertada por Monica Ghitun el martes 28 de noviembre de 2006
Descripción actualizada por Monica Ghitun el martes 28 de noviembre de 2006

Volver . . . .