TR/Drop.Xorer.C - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Drop.Xorer.C
Descubierto:	26/02/2008
Tipo:	Troyano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-bajo
Potencial dañino:	Medio
Fichero estático:	No
Tamaño:	~90.000 Bytes
Versión del IVDF:	7.00.02.190

General Método de propagación:
   • Unidades de red mapeadas

Alias:
   • Mcafee: W32/Xorer.c
   • Kaspersky: Virus.Win32.Xorer.dr
   • F-Secure: Virus.Win32.Xorer.dr
   • Sophos: W32/Xorer-B
   • Grisoft: Worm/AutoRun.AR
   • Eset: Win32/Xorer.NAE
   • Bitdefender: Win32.Xorer.DW

Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Descarga ficheros
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\%varios números aleatorios entre 0 - 9%.log
   • %SYSDIR%\com\lsass.exe
   • \pagefile.pif

Crea los siguientes ficheros:

– \autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

– %SYSDIR%\com\smss.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: W32/Xorer.DU

– %SYSDIR%\com\netcfg.000 Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Xorer.A.1

– %SYSDIR%\com\netcfg.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Xorer.A.1

– %SYSDIR%\dnsq.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.32256.E.2

– \NetApi000.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: RKIT/Xorer.A.2

Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://w.c0mo.com/**********
This file may contain further download locations (es)

Registro Elimina las siguientes claves del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]

Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • ShowSuperHidden = dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Nuevo valor:
   • Type = radio

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %SYSDIR%\dnsq.dll

Nombre del proceso:
• %todos los procesos activos%

Informaciones diversas Para buscar una conexión a Internet, contacta el siguiente sitio web:
• www.baidu.com

Objeto mutex:
Crea el siguiente objeto mutex:
• clsassexe

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• UPX

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Mon, 16 Jun 2008 12:29 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 19 Jun 2008 07:26 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver