Inicio de zonavirus, antivirus
SATINFO
zonavirus / noticias / mcafee nos avisa de otro nuevo troyano, esta vez backdoor -dgz, generado por un dropper, que se controlará con dat 5664

McAfee nos avisa de otro nuevo troyano, esta vez Backdoor -DGZ, generado por un dropper, que se controlará con DAT 5664

msc hotline sat
jueves, 02 de julio de 2009
BACKDOOR -DGZ:

Con este nombre se detecta la DLL generada por el Backdoor-DZG.dr.
Características:

Backdoor-DZG.dll es generado por el software de la instalación de algunas aplicaciones existentes en los siguientes FTP:
•FTP Voyager(RhinoSoft.com)
•AceFTP 3 (Visicom Media)
•Auto FTP Manager 4
•Whisper Technology\FTP Surfer
•FTP Desktop
•WS_FTP 12(Ipswitch)
•LeechFTP
•FlashFXP
•GoFTP
•FileZilla FTP Client
•CoreFTP
•FTP Commander
•CuteFTP
•SmartFTP Client
•WinSCP
•Total Commander
•FTP Explorer
•Mozilla Firefox
•Internet Explorer
•Opera
•K-Meleon
•FineBrowser
•TurboFTP
•NetSurf
•SlimBrowser
•Avant Browser
•SphereXPlorer
•Navigator 9
•SEAGULL
•Acoo Browser
•Safari
•Fast Browser
•EmFTP
•FTP Now
•Far

Las DLL generadas en la carpeta de sistema son:

•ntshrui.dll
•rasadhlp.dll


Dichos nombres han sido intencionalmente escogidos para confundir al usuario y pensar que son las originales del sistema, Además las aplicaciones en cuestion utilizan dichas DLL, y el malware fuerza a la aplicación para que utilice las DLL ilegitimas.

Cuando dichas DLL son cargadas, chequean la conectividad de Yahoo.com y Google.com en Internet, y cuando es positiva, conecta con los siguientes dominios desde donde recibe información cifrada de tipo "iframe" que es usado para descargar otros ficheros mas tarde.
•goooodbill.cn

Luego conecta con el siguiente dominio desde donde recibe los credenciales del FTP indicado con : password@ftpsite.
•vividns.net

Las credenciales suministradas parecen haber sido robadas de otros usuarios. Se recibe una credencial por separado en cada acceso, mediante script php indicado

El troyano utiliza las credenciales suministradas para crear una sesión FTP en dicho servidor. Tras iniciar con éxito dicha sesión, enumera todos los archivos del servidor, y una vez descifrado el "iframe", lo inyecta en la Web, relacionados con el contenido de archivos como archivos HTML.

Durante las pruebas el "iframe" una vez descifrado, contiene la siguiente URL

• tnx.name
Los síntomas:

Presencia de los mencionados archivos DLL en la instalación del software de la lista de aplicaciones
Método de infección:

Generado por Backdoor-DZG.dr

________



Mientras no está controlado, al menos saber como evitarlo :)

A partir del ElistarA 18.94 se pedirá muestra de las DLL indicadas, si se detectan.

saludos

ms, 2-7-2009


NOTA del 3-7-09: Debido a la recepcion masiva de muestras de dichos ficheros sin ser malwares, eliminamos la solicitud de muestras al respecto. Como que McAfee lo controla por cadenas a partir de hoy, ya llegarán los ficheros concretos y trabajaremos con ellos. ms.

 RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook

en fase BETA
zonavirus / noticias / mcafee nos avisa de otro nuevo troyano, esta vez backdoor -dgz, generado por un dropper, que se controlará con dat 5664