TR/Dldr.Exchanger.OQ - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Dldr.Exchanger.OQ
Descubierto:	18/08/2008
Tipo:	Troyano
Subtipo:	Downloader
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	72.704 Bytes
Suma de control MD5:	598e57c048f4ee0e550aa66324a410c4
Versión del IVDF:	7.00.06.28

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Mcafee: BackDoor-DNM trojan
   • Kaspersky: Trojan-Downloader.Win32.Exchanger.oq
   • F-Secure: Backdoor:W32/Hupigon.OEA
   • Panda: Trj/Dropper.WW
   • Grisoft: I-Worm/Nuwar.W
   • VirusBuster: Trojan.Agent.DVUQ
   • Eset: a variant of Win32/Agent.ETH trojan

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros dañinos
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\CdbgEvtSvc.exe

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://vca.cl/scan**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\641767680.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Fakealert.aah.3

– La dirección es la siguiente:
   • http://vca.cl/in_**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\664313440.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Crypt.XPACK.Gen

– La dirección es la siguiente:
   • http://vca.cl/pre**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\607883503.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dropper.Gen

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=
   • "DisplayName"="CdbgEvtSvc"
   • "ObjectName"="LocalSystem"

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc\Security]
   • "Security"=%número hexadecimal%

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc\Enum]
   • "0"="Root\\LEGACY_CDBGEVTSVC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andreas Feuerstein el Tue, 19 Aug 2008 14:04 (GMT+1)
Descripción actualizada por Andreas Feuerstein el Tue, 19 Aug 2008 15:09 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver