|
Troj/Danmec
|
Danmec es un troyano reportado el 25 de Noviembre del 2005, que ingresa furtivamente a los sistemas a través de diversos servicios de Internet, incluso como anexado a mensajes de
correo.
Monitorea los sistemas infectados, extrae información y la envía a través del puerto TCP/UDP 8081 a 2 direcciones IP de servicios ADSL de un Proveeedor (ISP) de Taiwan. |
El archivo "dropper" de nombre Checkreg.exe se copia a la carpeta %System%, liberando otros archivos.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ con extensión variable.
Al ser ingresar a un sistema se copia a la carpeta %System% con los siguientes nombres:
para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Registry Startup Check" = "%System%\checkreg.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo el troyano monitorea los sistemas infectados y captura la siguiente información:
almacena la información en un archivo texto y la envía a través del puerto TCP 8081 a las siguientes direcciones IP:
Las mismas que corresponden a un servicio ADSL de un ISP ubicado en Taipe, Taiwan.
De ninguna manera afirmamos que esta empresa pueda tener responsabilidad. Nuestro rastreo condujo hasta unas direcciones IP dinámicas, y que son compartidas por muchos usuarios, por lo cual es muy difícil de establecer su exacto orígen.
PER ANTIVIRUS® versión 9.5 con registro de virus al 25 de Noviembre del 2005 detecta y elimina este troyano.
