Geo Noticias - W32/Dumador

Menu Principal

Actualidad

Ciencia y Tecnologia

Curiosidades

Software

De Interés

Software gratis de Casino con decenas juegos incluyendo la mítica ruleta.

Inicio

Geo Noticias

Seguridad

W32/Dumador

Nombre: W32/Dumador Nombre NOD32: Win32/Dumador
Tipo: Caballo de Troya Alias: Dumador, Backdoor.Dumador, BackDoor.Dumaru.13, Backdoor.Nibu, Backdoor.Win32.Dumador.cy, BackDoor-CCT, TR/PSW.Ldpinch.AK, Trojan.Dumador-32-2, W32/Dumador.CY-bdr, W32/Dumador, Win32/Dumador Fecha: 24/jun/05 Plataforma: Windows 32-bit Tamaño: 26,624 bytes.

Al ejecutarse por primera vez, el troyano crea los siguientes archivos en el sistema infectado:

c:\windows\dvpd.dll
c:\windows\netdx.dat
c:\windows\prntsvra.dll
c:\windows\system\winldra.exe

NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado (con esos nombres por defecto en Windows 9x/ME, como "c:\winnt", "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

El troyano modifica las siguientes claves del registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
load32 = c:\windows\system\winldra.exe

También puede modificar algunas entradas relacionadas con el Internet Explorer, bajo la siguiente clave del registro:

HKCU\Software\Microsoft\Internet Explorer\Main\

Además puede crear la siguiente entrada:

HKCU\Software\SARS\

Abre una puerta trasera y aguarda los comandos de un usuario remoto. Algunas acciones posibles:

- Capturar la pantalla
- Capturar la salida de la Webcam
- Cerrar un programa
- Crear o borrar directorios
- Crear o borrar un archivo
- Ejecutar programas
- Listar todos los archivos en el directorio actual
- Ver y leer archivos

Puede enviar información confidencial del usuario infectado, al atacante remoto. Esto puede incluir el contenido del portapapeles, las contraseñas protegidas (Protected Storage Data), y los datos identificatorios del usuario (login, contraseña, etc.).

El archivo con todo lo capturado, es enviado cada cierto tiempo (cuando el archivo llega a determinado tamaño), por correo electrónico. También puede ser enviada a un servidor FTP remoto.

Modifica el archivo HOSTS, evitando que el usuario pueda ingresar a los siguientes sitios:

avp.com
ca.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
f-secure.com
kaspersky.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
my-etrust.com
nai.com
networkassociates.com
rads.mcafee.com
secure.nai.com
securityresponse.symantec.com
sophos.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
us.mcafee.com
viruslist.com
www.avp.com
www.ca.com
www.f-secure.com
www.kaspersky.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com

HOSTS (sin extensión alguna), es un archivo usado por Windows para asociar nombres de dominio con direcciones IP. Si este archivo existe en c:\windows\ (Windows 95, 98 y Me), o en \system32\drivers\etc\ (Windows NT, 2000 y XP), el sistema lo examina antes de hacer una consulta a un servidor DNS.

Esta versión del troyano puede ser descargada de Internet y ejecutada por el TrojanDownloader.Vidlo.P.

< Anterior		Siguiente >

[Volver]