Troj/Bagle.DM

TROJ/BAGLE.DM propagado por el puerto TCP 8080 intenta descargar Backdoor de diferentes sitios web.

Troj/Bagle.DM

Troj/Bagle.DM es un troyano residente en memoria reportado el 27 de Febrero del 2006, que ingresa furtivamente a los sistemas desde diversos sitios web, haciendo uso del puerto TCP 8080 con un archivo de nombre ldr64.dll

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/2000/XP y Server 2003, está desarrollado en Visual C++, con una extensión de 19 KB y comprimido con el utilitario PEPack:

http://www.woodmann.com/crackz/Packers.htm

Al ser ejecutado muestra un falso menu tipo Windows Explorer, invitando al usuario a elegir un archivo a crackear.

Indiferentemente de cualesquiera sea el archivo seleccionado, muestra la siguiente caja de diálogo:

Sin que el usuario haga click, el troyano se activa en memoria liberando los siguientes archivos

%System%\ldr64.dll
%Temp%\_ex[número_aleatorio].tmp (archivo con 0 bytes)

para ejecutarse la próxima vez que se re-inicie el sistema agrega los siguientes valores:

"LdCount" = "dword:00000000"
"prevt" = "dword:00000000"
"Impersonate" = "dword:00000000"
"Asynchronous" = "dword:00000001"
"DllName" = "ldr64.dll"
"Startup" = "Startup"

a la siguiente llave de registro: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ldr64]%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. %Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003. Al siguiente inicio del equipo el troyano intenta descargar el archivo 444.jpg, que contiene un backdoor, desde los siguientes sitios web: ala-bg.net allinfo.com.au americasenergyco.com amerykaameryka.com amistra.com analisisyconsultoria.com calamarco.com eleceltek.com www.americarising.com www.bbrealservis.sk www.befag.ru www.benininfo.com www.bennylife.com www.bestcheapdomainregistration.info www.bidsforbaby.com www.binhaigolf.com www.biotenk.com www.bitsolution.ro www.boldrussell.com www.bronko-m.ru www.bulkemailservicenow.com www.bulkemaildirectmarketing.com www.calidad.biz www.cansew.ca www.cansultdubai.ae www.casaquecanta.com www.chilotitomarino.cl www.chinaculturedpearl.com www.casino-malibu.ru www.colin18.com www.connectesl.com www.khonkaenpoc.com www.nmtltd.com www.vnettools.comPER ANTIVIRUS® versión 9.6 con registro de virus al 27 de Febrero del 2006 detecta y elimina este troyano.