TR/Dldr.Agent.bky - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Dldr.Agent.bky
Descubierto:	31/03/2007
Tipo:	Troyano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	13.312 Bytes
Suma de control MD5:	e9100Ce97a5b4fbd8857b25ffe2d7179
Versión del VDF:	6.38.00.149
Versión del IVDF:	6.38.00.152

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Mcafee: W32/Fujacks.ah
   • Kaspersky: Worm.Win32.Fujack.ar
   • F-Secure: Worm.Win32.Fujack.ar
   • Panda: W32/DiskInfector.A.worm
   • Grisoft: Downloader.Agent.KCA
   • VirusBuster: Worm.OnlineGames.SD
   • Eset: Win32/Fubalca.A
   • Bitdefender: Win32.Worm.Tunga.B

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Acceso al disquete
   • Descarga ficheros dañinos
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\sysload3.exe
   • %SYSDIR%\tempload.exe
   • %SYSDIR%\tempIcon.exe
   • A:\tool.exe

Añade secciones a los siguientes ficheros:
– Para: %todas las carpetas%\*.HTML Con el siguiente contenido:
   • script src=http://macr.microfsot.com/********** /script

– Para: %todas las carpetas%\*.ASPX Con el siguiente contenido:
   • script src=http://macr.microfsot.com/********** /script

– Para: %todas las carpetas%\*.PHP Con el siguiente contenido:
   • script src=http://macr.microfsot.com/********** /script

– Para: %todas las carpetas%\*.JSP Con el siguiente contenido:
   • script src=http://macr.microfsot.com/********** /script

– Para: %todas las carpetas%\*.ASP Con el siguiente contenido:
   • script src=http://macr.microfsot.com/********** /script

Crea el siguiente fichero:

– A:\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://a.2007ip.com/**********
This file may contain further download locations (es)

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• System Boot Check="%SYSDIR%\sysload3.exe"

Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Los siguientes procesos:
   • notepad.exe
   • IEXPLORE.EXE

Informaciones diversas Objeto mutex:
Crea los siguientes objetos mutex:
   • MySignal
   • MyInfect
   • MyDownload

Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • I will by one BMW this year!

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Ana Maria Niculescu el Thu, 08 Nov 2007 13:00 (GMT+1)
Descripción actualizada por Andrei Gherman el Fri, 09 Nov 2007 12:17 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back