Danmec

DANMEC.E troyano propagado por diversos servicios de Internet monitorea y roba información de sistemas.

Troj/Danmec.E

Danmec.E es un troyano residente en memoria reportado el 05 de Diciembre del 2005, que ingresa furtivamente a los sistemas a través de diversos servicios de Internet, incluso como anexado a mensajes de correo.

Monitorea los sistemas infectados, extrae información y la envía a través del puerto TCP/UDP 8081 a direcciones IP de servicios ADSL de un Proveeedor de Servicios de Internet (ISP) ubicado en Taiwan.

El archivo "dropper" de nombre Checkreg.exe se copia a la carpeta %System%, liberando otros archivos, incluyendo uno que borra al gusano despues de ejecutar sus rutinas.

Es un PE (Portable Ejecutable) e infecta Windows Me/2000/XP y Server 2003, está escrito en MS Visual C++ con extensión de 29 KB.

Su distribución mediante mensajes de correo tiene las siguientes características:

Remitente: las extraidas del sistema.
Asunto: GOLDNOW SHOP Billing Team (Ref: 09579)
Contenido:
Dear Customer.

You've specified this email as reachable.

Sorry,we were unable to process your transaction at this time for the following reason:

Transaction Denied by Bank.

Order details:

Date: 21/29/05
Order number is: 433309

You have ordered the following:

Price
RING 1 127.60
RING 2 152.80
Setup fee

+ VAT 18.39
________
Total in USD 253.50

Please see attached file.

GOLDNOW SHOP Billing Team
Thank you for choosing CCBill as the eMerchant for your subscription!

Anexado:checkreg.exe

Haciendo click en el archivo anexado el troyano se activa en memoria y muestra la siguiente falsa caja de diálogo:

Al ingresar a un sistema se copia a la carpeta %System% con los siguientes nombres:

Checkreg.exe (el troyano en sí) iisload.dll (componente DLL del troyano) S32l.txt (archivo de texto donde almacena la información capturada) ws3861.ini (archivo con caracteres ASCII encriptados) wsl[caracteres_aleatorios].dll (copia del troyano que se inserta en archivos y procesos del sistema) para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Registry Startup Check" = "%System%\checkreg.exe" %System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003. Al siguiente inicio del equipo el troyano libera el archivo _UNINSEP.BAT el la ruta %UserProfile%\Local Settings\Temp, el cual borrará las copias del gusano una vez que éstas hayan terminado de ejecutar sus rutinas: el troyano monitorea los sistemas infectados y captura la siguiente información: Información del sistema operativo. Procesos en ejecución. PArchivos y carpetas existentes. almacena los datos extraídos un archivo texto y los envía a través del puerto TCP 8081 a direcciones IP encriptadas, pertenecientes a conexiones ADSL de un ISP ubicado en Taipe, Taiwan. Seguramete este ISP desconoce las acciones de su cliente. Nuestro rastreo condujo hasta unas direcciones IP dinámicas, y que son compartidas por muchos usuarios, por lo cual es muy difícil de establecer su exacto origen. PER ANTIVIRUS® versión 9.5 con registro de virus al 05 de Diciembre del 2005 detecta y elimina este troyano.