McAfee nos avisa de otro nuevo troyano, esta vez Backdoor -DGZ, generado por un dropper, que se controlará con DAT 5664

---

BACKDOOR -DGZ:



Con este nombre se detecta la DLL generada por el Backdoor-DZG.dr.

Características:



Backdoor-DZG.dll es generado por el software de la instalación de algunas aplicaciones existentes en los siguientes FTP:

•FTP Voyager(RhinoSoft.com)

•AceFTP 3 (Visicom Media)

•Auto FTP Manager 4

•Whisper Technology\FTP Surfer

•FTP Desktop

•WS_FTP 12(Ipswitch)

•LeechFTP

•FlashFXP

•GoFTP

•FileZilla FTP Client

•CoreFTP

•FTP Commander

•CuteFTP

•SmartFTP Client

•WinSCP

•Total Commander

•FTP Explorer

•Mozilla Firefox

•Internet Explorer

•Opera

•K-Meleon

•FineBrowser

•TurboFTP

•NetSurf

•SlimBrowser

•Avant Browser

•SphereXPlorer

•Navigator 9

•SEAGULL

•Acoo Browser

•Safari

•Fast Browser

•EmFTP

•FTP Now

•Far



Las DLL generadas en la carpeta de sistema son:



•ntshrui.dll

•rasadhlp.dll





Dichos nombres han sido intencionalmente escogidos para confundir al usuario y pensar que son las originales del sistema, Además las aplicaciones en cuestion utilizan dichas DLL, y el malware fuerza a la aplicación para que utilice las DLL ilegitimas.



Cuando dichas DLL son cargadas, chequean la conectividad de Yahoo.com y Google.com en Internet, y cuando es positiva, conecta con los siguientes dominios desde donde recibe información cifrada de tipo "iframe" que es usado para descargar otros ficheros mas tarde.

•goooodbill.cn



Luego conecta con el siguiente dominio desde donde recibe los credenciales del FTP indicado con : password@ftpsite.

•vividns.net



Las credenciales suministradas parecen haber sido robadas de otros usuarios. Se recibe una credencial por separado en cada acceso, mediante script php indicado



El troyano utiliza las credenciales suministradas para crear una sesión FTP en dicho servidor. Tras iniciar con éxito dicha sesión, enumera todos los archivos del servidor, y una vez descifrado el "iframe", lo inyecta en la Web, relacionados con el contenido de archivos como archivos HTML.



Durante las pruebas el "iframe" una vez descifrado, contiene la siguiente URL



• tnx.name

Los síntomas:



Presencia de los mencionados archivos DLL en la instalación del software de la lista de aplicaciones

Método de infección:



Generado por Backdoor-DZG.dr



________







Mientras no está controlado, al menos saber como evitarlo :)



A partir del ELISTARA 18.94 se pedirá muestra de las DLL indicadas, si se detectan.



saludos



ms, 2-7-2009





NOTA del 3-7-09: Debido a la recepcion masiva de muestras de dichos ficheros sin ser malwares, eliminamos la solicitud de muestras al respecto. Como que McAfee lo controla por cadenas a partir de hoy, ya llegarán los ficheros concretos y trabajaremos con ellos. ms.