DR/Xbot.L - Dropper

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	DR/Xbot.L
Descubierto:	04/08/2006
Tipo:	Dropper
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	20.384 Bytes
Suma de control MD5:	2188b1bc1342c0824c2f5429678a310C
Versión del VDF:	6.35.01.46
Versión del IVDF:	6.35.01.46

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • TrendMicro: BKDR_AGENT.DFT
   • Bitdefender: Dropped:Backdoor.Xbot.L

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\remote.exe

Elimina la copia inicial del virus.

Crea el siguiente fichero:

– %SYSDIR%\kernel32.ime Además, el fichero es ejecutado después de haber sido creado. Detectado como: BDS/Xbot.L

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote]
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%SYSDIR%\remote.exe"
   • "DisplayName"="Remote Procedure Call (RPC) Remote"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the RPC name service database."

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote\Security]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\RpcRemote\Enum]
   • "0"="Root\\LEGACY_RPCREMOTE\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: KERNEL32.IME

Nombre del proceso:
• SVCHOST.EXE

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• WinUpack

Para una breve descripción vea el resumen aquí.

Descripción insertada por Gabriel Mustata el Fri, 11 Aug 2006 16:14 (GMT+1)
Descripción actualizada por Gabriel Mustata el Mon, 28 Aug 2006 15:25 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver