Nombre:TR/Proxy.Dlena.AT
Descubierto:01/12/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:29.696 Bytes
Suma de control MD5:e7e78b720c8f95b1cc4149853b671d12
Versión del VDF:6.36.01.109
Versión del IVDF:6.36.01.114 - viernes 1 de diciembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Proxy.Win32.Dlena.at
   •  F-Secure: Trojan-Proxy.Win32.Dlena.at
   •  Sophos: Troj/Proxy-FF
   •  Grisoft: Proxy.JBB


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea el siguiente fichero:

%SYSDIR%\rpcc.dll



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://193.37.152.88/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

– La dirección es la siguiente:
   • http://205.209.179.44/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

– La dirección es la siguiente:
   • http://66.185.126.201/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

– La dirección es la siguiente:
   • http://66.185.126.34/**********
Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.

 Registro Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   rpcc]
   • "DllName"="%SYSDIR%\rpcc.dll"
   • "Asynchronous"=dword:00000001
   • "Impersonate"=dword:00000001
   • "Startup"="Startup"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WinOpts]
   • "Id"=dword:787d1157
   • "Lid"=dword:0000001a

 Envio de mensajes Servidor MX:
Puede conectarse a uno de los servidores MX:
   • mindspring.com
   • yahoo.com
   • microsoft.com

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • %URL del fichero descargado%

De esta forma obtiene el control remoto.

Capabilidades de control remoto:
    • Descargar fichero
    • Ejecutar fichero
    • Enviar mensajes de correo

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: rpcc.dll

    Los siguientes procesos:
   • svchost.exe
   • winlogon.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • PePack

Descripción insertada por Adriana Popa el viernes 12 de enero de 2007
Descripción actualizada por Adriana Popa el viernes 12 de enero de 2007

Volver . . . .