TR/Spy.Goldun.CI - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Spy.Goldun.CI
Descubierto:	11/10/2005
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	10.296 Bytes
Suma de control MD5:	AC5F9A4561DC118AD143CFF3331B9B4E
Versión del VDF:	6.32.00.77

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Trojan-Spy.Win32.Goldun.ci

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Elimina la copia inicial del virus.

Crea el siguiente fichero:

– %SYSDIR%\msgalo.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Goldun.ci.2

Registro Añade las siguientes claves al registro:

– [HKCR\CLSID\{56262124-6251-5625-3072-548536364311}]
   • "plugin"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,9f,\ 95,25,78,16,c4,f4,d7,b2,40,91,21,52,08,97,d2
   • "notify"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,9f,\ 95,25,78,16,34,ec,df,c2,48,29,21,72,98,9f,da
   • "sbanker0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,\ 8c,9f,95,25,78,16,54,9c,0f,d2,60,41,21,52,f7,2f,0b
   • "form0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,\ 9f,95,25,78,16,c4,04,07,4a,c0,93,f3,32,68,06
   • "tripp0001"=hex:5d,1e,6c,e2,d0,4c,ec,67,a1,51,5f,ee,28,94,69,3a,1c,bd,c1,91,8c,\ 9f,95,25,78,16,dc,14,0d,0a,38,61,52

– [HKCR\CLSID\{56262124-6251-5625-3072-548536364311}\InprocServer32]
   • @="%SYSDIR%\msgalo.dll"
   • "ThreadingModel"="Apartment"

Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • http://hothosts.co.uk/**********/collect.php

Esto se realiza mediante el método HTTP POST, empleando un script PHP.

Envía informaciones acerca de:
    • Dirección IP
    • Las informaciones recolectadas, descritas en la sección

Robo de informaciones – Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:
   • www.e-gold.com

– Captura:
    • Información de la ventana
    • Informaciones para iniciar sesión

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• FSG

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Tue, 11 Oct 2005 16:36 (GMT+1)
Descripción actualizada por Andrei Gherman el Fri, 14 Oct 2005 16:10 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver