TR/Lager.U.1 - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Lager.U.1
Descubierto:	14/02/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	48.164 Bytes
Suma de control MD5:	044650cf2d2b490699df8259c22f50b8
Versión del VDF:	6.33.00.225

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Trojan-Proxy.Win32.Lager.ah
   • TrendMicro: TROJ_GALAPOPER.T
   • VirusBuster: virus Trojan.PR.Lager.Y
   • Bitdefender: Trojan.Spy.Agent.CN

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\symsvcsa.exe

Crea los siguientes ficheros:

– Fichero no malicioso:
   • %SYSDIR%\zlbw.dll

– Un fichero temporal, que puede ser eliminado después:
   • %SYSDIR%\log.txt

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "aupd" = "%SYSDIR%\symsvcsa.exe"

Añade las siguientes claves al registro:

– [HKEY_CURRENT_USER]
   • "ColorTable19"=dword:%número hexadecimal%
   • "ColorTable20"=dword:%número hexadecimal%

Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • 216.255.179.234/new/cntr/**********
   • 69.50.171.172/**********
   • 69.50.161.106/**********
   • 216.255.179.235/new/cls/**********

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.

Envía informaciones acerca de:
    • Nombre del ordenador
    • Estado actual del programa viral

Capabilidades de control remoto:
    • Descargar fichero

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• _alanchum

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Daniel Constantin el Fri, 17 Feb 2006 16:04 (GMT+1)
Descripción actualizada por Daniel Constantin el Mon, 20 Feb 2006 14:00 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back