McAfee nos avisa de otro nuevo troyano, esta vez Backdoor -DGZ, generado por un dropper, que se controlará con DAT 5664

BACKDOOR -DGZ:

Con este nombre se detecta la DLL generada por el Backdoor-DZG.dr.
Características:

Backdoor-DZG.dll es generado por el software de la instalación de algunas aplicaciones existentes en los siguientes FTP:
•FTP Voyager(RhinoSoft.com)
•AceFTP 3 (Visicom Media)
•Auto FTP Manager 4
•Whisper Technology\FTP Surfer
•FTP Desktop
•WS_FTP 12(Ipswitch)
•LeechFTP
•FlashFXP
•GoFTP
•FileZilla FTP Client
•CoreFTP
•FTP Commander
•CuteFTP
•SmartFTP Client
•WinSCP
•Total Commander
•FTP Explorer
•Mozilla Firefox
•Internet Explorer
•Opera
•K-Meleon
•FineBrowser
•TurboFTP
•NetSurf
•SlimBrowser
•Avant Browser
•SphereXPlorer
•Navigator 9
•SEAGULL
•Acoo Browser
•Safari
•Fast Browser
•EmFTP
•FTP Now
•Far

Las DLL generadas en la carpeta de sistema son:

•ntshrui.dll
•rasadhlp.dll

 
Dichos nombres han sido intencionalmente escogidos para confundir al usuario y pensar que son las originales del sistema, Además las aplicaciones en cuestion utilizan dichas DLL, y el malware fuerza a la aplicación para que utilice las DLL ilegitimas.
Cuando dichas DLL son cargadas, chequean la conectividad de Yahoo.com y Google.com en Internet, y cuando es positiva, conecta con los siguientes dominios desde donde recibe información cifrada de tipo “iframe” que es usado para descargar otros ficheros mas tarde.
•goooodbill.cn
Luego conecta con el siguiente dominio desde donde recibe los credenciales del FTP indicado con : to dicha sesión, enumera todos los archivos del servidor,  y una vez descifrado el “iframe”, lo inyecta en la Web,  relacionados con el contenido de archivos como archivos HTML.

Durante las pruebas el “iframe” una vez descifrado, contiene la siguiente URL

• tnx.name
Los síntomas:

Presencia de los mencionados archivos DLL en la instalación del software de la lista de aplicaciones
todo de infección:

Generado por Backdoor-DZG.dr

________

 

Mientras no está controlado, al menos saber como evitarlo 🙂

A partir del ELISTARA 18.94 se pedirá muestra de las DLL indicadas, si se detectan.

NOTA del 3-7-09: Debido a la recepcion masiva de muestras de dichos ficheros sin ser malwares, se eliminamos la solicitud de muestras al respecto. Como que McAfee lo controla por cadenas a partir de hoy, ya llegarán los ficheros concretos y trabajaremos con ellos. ms.

 

saludos

ms, 2-7-2009

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con
info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies