Nombre:TR/Drop.LdPinch.dvx
Descubierto:23/10/2007
Tipo:Troyano
Subtipo:Dropper / Downloader
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:28.672 Bytes
Suma de control MD5:67f88bf5ae4a4c64dbee3de00Dc8fc0C
Versión del IVDF:7.0.0.125

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Spy-Agent.bg
   •  Eset: Win32/PSW.LdPinch.DVX trojan


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero
   • Suelta un fichero dañino

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\9129837.exe



Crea los siguientes ficheros:

%WINDIR%\new_drv.sys Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: RKIT/LdPinch.dvx

– c:\abcdefg.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ttool
   • %WINDIR%\9129837.exe



Añade la siguiente clave al registro:

– HKCU\Software\Microsoft\InetData
   • k1=dword:336602d5
   • k2=dword:4337c861
   • version="951"

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://**********/cgi-bin/options.cgi?user_id=165549058&version_id=951&passphrase=fkjvhsdvlksdhvlsd&socks=3633&version=124&crc=00000000

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script CGI.

Descripción insertada por Lutz Koch el martes 23 de octubre de 2007
Descripción actualizada por Lutz Koch el miércoles 24 de octubre de 2007

Volver . . . .