Nombre:TR/Inject.81409.BI
Descubierto:22/04/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:81.409 Bytes
Suma de control MD5:b2dfa22025a1043e3a12837222f6753f
Versión del IVDF:7.10.06.171 - jueves 22 de abril de 2010

 General Alias:
   •  Sophos: Troj/Delf-FEP
   •  Panda: W32/IRCbot.CXC
   •  Eset: Win32/Boberog.AQ
   •  Bitdefender: Trojan.Generic.KD.8165


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %TEMPDIR%\nvdis.exe



Crea el siguiente fichero:

%TEMPDIR%\google_cache112.tmp



Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • netsh firewall add allowedprogram %TEMPDIR%\nvdis.exe WindowsSafety ENABLE


– Ejecuta uno de los ficheros siguientes:
   • taskkill /IM winlog.exe


– Ejecuta uno de los ficheros siguientes:
   • taskkill /IM svchost.exe


– Ejecuta uno de los ficheros siguientes:
   • taskkill /IM csrss.exe


– Ejecuta uno de los ficheros siguientes:
   • taskkill /IM lsass.exe


– Ejecuta uno de los ficheros siguientes:
   • "%TEMPDIR%\nvdis.exe"

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater"="%TEMPDIR%\nvdis.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "MicrosoftCorp"="%TEMPDIR%\nvdis.exe"

–  [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • %TEMPDIR%\nvdis.exe

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: rix.mes**********.su
Puerto: 1234
Canal: #l#
Apodo: {NEW}[USA][XP-%versión de Windows% ]%número%

 Finalización de los procesos Listado de los procesos finalizados:
   • winlog.exe
   • svchost.exe
   • csrss.exe
   • lsass.exe


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.

Descripción insertada por Petre Galan el martes 6 de julio de 2010
Descripción actualizada por Petre Galan el martes 6 de julio de 2010

Volver . . . .