TR/Dldr.Agent.gcx - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/Dldr.Agent.gcx
Descubierto:	24/10/2008
Tipo:	Troyano
Subtipo:	Downloader
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio
Potencial de propagación:	Alto
Potencial dañino:	Alto
Fichero estático:	No
Tamaño:	~ 360.000 Bytes
Versión del IVDF:	7.00.07.81

General Método de propagación:
   • Red local

Alias:
   • Mcafee: Spy-Agent.da trojan
   • Kaspersky: Trojan-Downloader.Win32.Agent.alce
   • F-Secure: Trojan-Downloader.Win32.Agent.alce
   • Sophos: Troj/Gimmiv-A
   • Bitdefender: Win32.Worm.Gimmiv.A

Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta un fichero dañino
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

Ficheros Crea los siguientes ficheros:

– %SYSDIR%\wbem\sysmgr.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Agent.gcx

– %TEMPDIR%\%serie de caracteres aleatorios de ocho dígitos%.bat Este fichero batch es empleado para eliminar un fichero.

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SYSTEM\ControlSet001\Services\sysmgr\Parameters]
   • "ServiceDll"=%SYSDIR%\%fichero dll viral%
   • "ServiceMain"="ServiceMainFunc"

Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
   • "sysmgr"=%valores hex%

Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • 212.227.93.146
   • 64.233.189.147
   • 202.108.22.44

De esta forma puede enviar informaciones. Además, rehace la conexión periódicamente. Esto se realiza mediante una interrogación HTTP GET en un script PHP.

Envía informaciones acerca de:
    • Listado de Añadir/Quitar Programas
    • Nombre del ordenador
    • Informaciones acerca de la red
    • Las informaciones recolectadas, descritas en la sección
    • Nombre de usuario
    • Informaciones acerca del sistema operativo Windows

Robo de informaciones Intenta robar las siguientes informaciones:

– Las contraseñas de los siguientes programas:
   • Outlook Express
   • MSN Messenger
   • Protected Storage

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Thomas Wegele el Fri, 24 Oct 2008 07:24 (GMT+1)
Descripción actualizada por Alexander Vukcevic el Fri, 24 Oct 2008 09:13 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver