TR/FURootkit - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/FURootkit
Descubierto:	14/03/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	19.533 Bytes
Suma de control MD5:	dbd59aa4151a57c8e0124c34f9a3aef7
Versión del VDF:	6.30.00.74

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Symantec: Hacktool.Rootkit
   • Kaspersky: Net-Worm.Win32.Mytob.r
   • TrendMicro: TROJ_ROOTDROP.A
   • Bitdefender: Trojan.Dropper.Rootkit.H

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro

Ficheros Crea el siguiente fichero:

– %directorio donde se ejecuta el programa viral%\msdirectx.sys Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Agent.dg.2.B

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Security]
   • "Security"=hex:%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX]
   • "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx]
   • "Type"=dword:00000001
     "Start"=dword:00000003
     "ErrorControl"=dword:00000001
     "ImagePath"=hex(2):%malware executin directory%\msdirectx.sys
     "DisplayName"="msdirectx"

– [HKLM\SYSTEM\CurrentControlSet\Services\msdirectx\Enum]
   • "0"="Root\\LEGACY_MSDIRECTX\\0000"
     "Count"=dword:00000001
     "NextInstance"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000]
   • "Service"="msdirectx"
     "Legacy"=dword:00000001
     "ConfigFlags"=dword:00000000
     "Class"="LegacyDriver"
     "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
     "DeviceDesc"="msdirectx"

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000\
   Control]
   • "*NewlyCreated*"=dword:00000000
     "ActiveService"="msdirectx"

Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• FSG

Para una breve descripción vea el resumen aquí.

Descripción insertada por Iulia Diaconescu el Wed, 15 Mar 2006 09:26 (GMT+1)
Descripción actualizada por Andrei Gherman el Fri, 17 Mar 2006 11:12 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver