TR/Tcom.2 - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Tcom.2
Descubierto:	20/07/2005
Tipo:	Troyano
Subtipo:	Downloader
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Bajo
Fichero estático:	Sí
Tamaño:	26.624 Bytes
Suma de control MD5:	8e3cf147f6d642b4e0808cec743d856e
Versión del VDF:	6.31.0.234

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Symantec: Backdoor.Nibu.L
   • Mcafee: BackDoor-CCT
   • Kaspersky: Trojan-Spy.Win32.Agent.fe
   • TrendMicro: TROJ_DUMADOR.AV
   • VirusBuster: Backdoor.Dumador.BM

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Reduce las opciones de seguridad
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\windldra.exe

Elimina el siguiente fichero:
• %WINDIR%\send_logs_trigger

Crea los siguientes ficheros:

– %WINDIR%\netdx.dat Este fichero sirve como indicador para una rutina interna.
– %WINDIR%\dvpd.dll
– %WINDIR%\prntsvra.dll
– %TEMPDIR%\fe43e701.htm En este fichero se registran las pulsaciones de teclado.
– %WINDIR%\prntc.log
– %WINDIR%\prntk.log

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\software\microsoft\windows\currentversion\run\]
   • "load32"="%SYSDIR%\winldra.exe"

Añade las siguientes claves al registro:

– [HKCU\software\sars\]
   • "SocksPort"=dword:%serie de caracteres aleatorios%

– [HKCU\software\microsoft\internet explorer\main\]
   • "AllowWindowReuse"=dword:00000000

Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso a los siguientes dominios está bloqueado:
   • www.trendmicro.com; trendmicro.com; rads.mcafee.com;
      customer.symantec.com; liveupdate.symantec.com; us.mcafee.com;
      updates.symantec.com; update.symantec.com; www.nai.com; nai.com;
      secure.nai.com; dispatch.mcafee.com; download.mcafee.com;
      www.my-etrust.com; my-etrust.com; mast.mcafee.com; ca.com; www.ca.com;
      networkassociates.com; www.networkassociates.com; avp.com;
      www.kaspersky.com; www.avp.com; kaspersky.com; www.f-secure.com;
      f-secure.com; viruslist.com; www.viruslist.com;
      liveupdate.symantecliveupdate.com; mcafee.com; www.mcafee.com;
      sophos.com; www.sophos.com; symantec.com;
      securityresponse.symantec.com; us.mcafee.com/root/; www.symantec.com

El fichero host modificado se verá así:

Backdoor (Puerta trasera) Abre los siguientes puertos:

– %ficheros ejecutados% en un puerto TCP aleatorio para funcionar como servidor proxy.
– %ficheros ejecutados% en el puerto TCP 9125 para proporcionar capabilidades de backdoor.

Servidor contactado:
El siguiente:
   • http://222.36.41.**********/system32/logger.php

De esta forma puede enviar informaciones. Esto se realiza mediante una interrogación HTTP GET en un script PHP.

Envía informaciones acerca de:
    • Ficheros de informe creados
    • Informaciones acerca de la red
    • ID de la plataforma

Robo de informaciones Intenta robar las siguientes informaciones:

– Las contraseñas de los siguientes programas:
   • WebMoney
   • Far Manager
   • Total Commander
   • Outlook
   • Outlook Express

– Inicia una rutina de creación de ficheros log después de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • "gold"; "Storm"; "e-metal"; "Money"; "money"; "WM Keeper"; "Keeper";
      "Fethard"; "fethard"; "bull"; "Bull"; "mull"; "PayPal"; "Bank";
      "bank"; "cash"; "anz"; "ANZ"; "shop"; "Shop"; "..."; "ebay"; "invest";
      "casino"; "bookmak"; "pay"; "member"; "fund"; "Invest"; "Casino";
      "Bookmak"; "Pay"; "Member"; "Fund"; "bet"; "Bet"; "bill"; "Bill";
      "login"; "Login"

– Captura:
    • Pulsaciones de teclado
    • Información de la ventana
    • Ventana del navegador
    • Informaciones para iniciar sesión

Inyectar el código viral en otros procesos – Se inyecta en un proceso.

Nombre del proceso:
• Internet Explorer

Para una breve descripción vea el resumen aquí.

Descripción insertada por Sergiu Oprea el Wed, 03 Aug 2005 11:04 (GMT+1)
Descripción actualizada por Oliver Auerbach el Tue, 18 Oct 2005 21:47 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver