Nombre:TR/Drop.Decay.atv
Descubierto:23/10/2009
Tipo:Troyano
Subtipo:Dropper
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:70.656 Bytes
Suma de control MD5:3bd03a49f0a4ffd9220e1e1b2890663a
Versión del IVDF:7.01.06.142 - viernes 23 de octubre de 2009

 General Método de propagación:
• Autorun feature (es)


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\conmsyrtl.exe
   • \driver\usb\usb3.EXE



Crea los siguientes ficheros:

\driver\usb\Desktop.ini
\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

 Registro Añade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Sistema de Comm"="conmsyrtl.exe"



Modifica la siguiente clave del registro:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Nuevo valor:
   • "%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%"="%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%:*:Enabled:Sistema de Comm"

 P2P    Busca directorios que contengan una de las siguientes subseries de caracteres:
   • winmx\shared\
   • tesla\files\
   • limewire\shared\
   • morpheus\my shared folder\
   • emule\incoming\
   • edonkey2000\incoming\
   • bearshare\shared\
   • grokster\my grokster\
   • icq\shared folder\
   • kazaa lite k++\my shared folder\
   • kazaa lite\my shared folder\
   • kazaa\my shared folder\

   Al tener éxito, crea los siguientes ficheros:
   • headjobs.scr; ilovetofuck.scr; FREEPORN.exe,fuckshitcunt.scr;
      Autoloader.exe; Wireshark.exe; DDOSPING.exe; ScreenMelter.exe;
      How-to-make-money.exe; Ebooks.exe; WildHorneyTeens.scr;
      RapidsharePREMIUM.exe; LimeWireCrack.exe; Porno.MPEG.exe; image.scr;
      VistaUltimate-Crack.exe; paris-hilton.scr; MSNHacks.exe;
      YahooCracker.exe; HotmailHacker.exe

   Estos ficheros son copias del programa malicioso.

 Messenger Se propaga por Messenger. Sus características están descritas a continuación:

– AIM Messenger
– MSN Messenger

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: ns3.metr**********.com
Puerto: 6567
Contraseña del servidor: pr1v4d0onl1n3r
Canal: #delawich#
Apodo: [SH|USA|00|P|%número%]
Contraseña: c1rc0s0leil


– Además puede efectuar las siguientes operaciones:
    • Iniciar ataques DDoS por desbordamiento de SYN
    • Descargar fichero
    • Se actualiza solo
    • Visitar un sitio web

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el miércoles 3 de febrero de 2010
Descripción actualizada por Petre Galan el viernes 5 de febrero de 2010

Volver . . . .