Nombre:TR/Dldr.Agent.gcx
Descubierto:24/10/2008
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Medio
Potencial de propagación:Alto
Potencial dañino:Alto
Fichero estático:No
Tamaño:~ 360.000 Bytes
Versión del IVDF:7.00.07.81 - viernes 24 de octubre de 2008

 General Método de propagación:
   • Red local


Alias:
   •  Mcafee: Spy-Agent.da trojan
   •  Kaspersky: Trojan-Downloader.Win32.Agent.alce
   •  F-Secure: Trojan-Downloader.Win32.Agent.alce
   •  Sophos: Troj/Gimmiv-A
   •  Bitdefender: Win32.Worm.Gimmiv.A


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta un fichero dañino
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Crea los siguientes ficheros:

%SYSDIR%\wbem\sysmgr.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Agent.gcx

%TEMPDIR%\%serie de caracteres aleatorios de ocho dígitos%.bat Este fichero batch es empleado para eliminar un fichero.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
   • "ServiceDll"=%SYSDIR%\%fichero dll viral%
   • "ServiceMain"="ServiceMainFunc"



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "sysmgr"=%valores hex%

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • 212.227.93.146
   • 64.233.189.147
   • 202.108.22.44

De esta forma puede enviar informaciones. Además, rehace la conexión periódicamente. Esto se realiza mediante una interrogación HTTP GET en un script PHP.


Envía informaciones acerca de:
    • Listado de Añadir/Quitar Programas
    • Nombre del ordenador
    • Informaciones acerca de la red
    • Las informaciones recolectadas, descritas en la sección
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows

 Robo de informaciones Intenta robar las siguientes informaciones:

– Las contraseñas de los siguientes programas:
   • Outlook Express
   • MSN Messenger
   • Protected Storage

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Thomas Wegele el viernes 24 de octubre de 2008
Descripción actualizada por Alexander Vukcevic el viernes 24 de octubre de 2008

Volver . . . .