Nombre:TR/Disabler.i.50
Descubierto:13/03/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:No
Tamaño:29.377 Bytes
Suma de control MD5:89c3f6763a379f4cf7ba0766b4798c26
Versión del VDF:7.01.02.164
Versión del IVDF:7.01.02.171 - viernes 13 de marzo de 2009

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: BackDoor-DIY
   •  Kaspersky: Trojan.Win32.Disabler.i
   •  F-Secure: Trojan.Win32.Disabler.i
   •  Eset: Win32/Disabler.I
   •  Bitdefender: Trojan.RegistryDisabler


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %home%\Start Menu\Programs\Startup\systemID.pif
   • %SYSDIR%\Flashy.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • Flashy Bot="%SYSDIR%\Flashy.exe"



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   • NoFolderOptions=dword:00000001



Modifica las siguientes claves del registro:

Desactiva el cortafuego de Windows XP:
– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess]
   Nuevo valor:
   • Start=dword:00000004

Desactivar Regedit y el Administrador de Tareas:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • "DisableTaskMgr" = 1
   • "DisableRegistryTools" = 1

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • HideFileExt=dword:00000001
     Hidden=dword:00000002

 Backdoor (Puerta trasera) Abre el siguiente puerto:

– net.exe en el puerto TCP 23 para crear un comando remote shell.

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • ||Flashy||

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG 2.00

Descripción insertada por Ana Maria Niculescu el lunes 4 de mayo de 2009
Descripción actualizada por Ana Maria Niculescu el lunes 4 de mayo de 2009

Volver . . . .