|
Troj/Darkmoon.E
Darkmoon.E es un troyano/backdoor reportado el 26 de Septiembre del 2007, que se propaga a través de diversos servicios de Internet, abre el puerto TCP 5555 y se conecta a un sitio web desde el cual recibirá instrucciones y ejecutará comandos arbitrarios en forma remota.Inserta su código en el proceso del Explorador de Windows ejecutándolo en forma oculta e impidiendo su administración por el usuario.
Infecta a Windows 95/98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 68KB y comprimido con rutinas propias.
Una vez ingresado al sistema, para evitar ejecutarse más de una vez el troyano crea el Mutex ")!VSfS.I4"
y se copia a las siguientes rutas con los nombres de archivo:
para ejecutarse la próxima vez que se reinicie el sistema crea la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
{16F5021C-69C7-F9BF-0804-020805080704}]
"StubPath" = "%System%\Svhosters.exe"
%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo, el troyano ejecuta el archivo mofa.doc con MS Word, el cual tiene un contenido en idioma japonés.
Inserta su código viral en el proceso del Explorador de Windows y ejecuta el iexplore.exe en forma oculta, impidiendo ser administrado por el usuario del sistema infectado.
Como Backdoor
se conecta a través del puerto TCP
5555 al URL wangba8888.3322.org
desde el mismo que recibirá
instrucciones y ejecutará acciones arbitrarias en forma remota.
PER ANTIVIRUS®
versión 10.2 con registro de virus al 26 de Septiembre del
2007 detecta y elimina este
toyano/backdoor.
