English
Deutsch
Francais
Español
Italian
Portal
Amenazas
TR/Dldr.iBill.AR
Búsqueda
Portal
Soporte
Soluciones
Productos
Descargas
Amenazas
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Compañía
Prensa
Socios
Newsletter
TR/Dldr.iBill.AR - Trojan
Vea también
Resumen
Descripción completa
Estadísticas
How would you rate this information?
Worthless
Excellent
Nombre:
TR/Dldr.iBill.AR
Descubierto:
09/05/2007
Tipo:
Troyano
En circulación (ITW):
No
Número de infecciones comunicadas:
Bajo
Potencial de propagación:
Bajo
Potencial dañino:
Medio-bajo
Fichero estático:
Sí
Tamaño:
21.504 Bytes
Suma de control MD5:
7b3dc8ed3a14892fd2ac850B0F415496
Versión del VDF:
6.38.01.110
Versión del IVDF:
6.38.01.116
General
Método de propagación:
• No tiene rutina propia de propagación
Alias:
• Mcafee: Downloader-AAP trojan
• Kaspersky: Trojan-Downloader.Win32.Nurech.bp
• F-Secure: Trojan-Downloader.Win32.Nurech.bp
Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Descarga ficheros
• Descarga ficheros dañinos
• Suelta un fichero
• Modificaciones en el registro
Ficheros
Se copia a sí mismo en la siguiente ubicación:
•
%SYSDIR%
\isxa.exe
Crea el siguiente fichero:
–
%SYSDIR%
\drivers\c656.tx Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
•
%recursos de internet que utiliza el malware%
Registro
Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:
– [HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN]
• isxa = isxa.exe
Añade la siguiente clave al registro:
– [HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION]
• TTT =
%número hexadecimal%
Backdoor (Puerta trasera)
Servidor contactado:
Las siguientes:
• http://flusentiere.de/images/counter/**********
• http://www.renatekoch.com/html/**********
• http://www.berkili-maschinen.de/img/**********
• http://adolf-seeger.de/rs/images/**********
• http://thaibaa.org/files/**********
• http://thaifisherfolk.com/Doc/**********
• http://alsiroyal.de/img/suche/**********
• http://ganzheitliche-kurse.de/RUBRIKEN/**********
Una vez contectado, extraerá una lista suplementaria.
De esta forma obtiene el control remoto. La respuesta del servidor queda escrita en el fichero:
%SYSDIR%
\drivers\c656.tx
Capabilidades de control remoto:
• Descargar fichero
Datos del fichero
Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.
Para una breve descripción vea el resumen
aquí
.
Descripción insertada por Andrei Gherman el Thu, 31 May 2007 09:43 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 31 May 2007 09:44 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« volver
Imprimir esta página
W32/Elkern.C
Worm/Mytob.AT
Worm/Mytob.U
Worm/Lovgate.W
Worm/Klez.E
DR/Agent.abpc
TR/Spy.Banker.okm.2
EXP/MS08-067.C
JAVA/Dldr.Small.A
TR/Spy.Banker.get
© 2008 Avira GmbH
Copyright
Protección de datos
Mapa web
Feedback
Pie de imprenta
FAQ
Contacto
Amenazas 
Imprimir esta página
