Strict Standards: Accessing static property Database::$database as non static in /home/manual/public_html/includes/class/Database.class.php on line 26
Manual informática de trojan/mitglieder.hj

trojan/mitglieder.hj

Imagen biografía
Categoría: Troyanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de trojan/mitglieder.hj

trojan.lodeight.b, trj/mitglieder.hj
tipo: troyano
tama?o: 11,725 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9 al 26/01/2006.
w32/mitglieder.hj, es un troyano que abre puertos (backdoor) en el computador, intenta descargar una variante del gusano w32/bagle y deshabilita el administrador de tareas de windows.
cuando el troyano se ejecuta se copia a si mismo dentro de:
system \wintems.exe nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s modifica algunas entradas en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_current_user\software\microsoft\windows\currentversion\run
german.exe= system \wintems.exe
tambi?n adiciona el siguiente valor:
hkey_current_user\software\datetime4
port=[n?mero de puerto aleatorio] o 33322
hkey_current_user\software\datetime4
uid=[aleatorio]
hkey_current_user\software\datetime4
wdrn=1
crea los siguientes mutex 555 y die_lames555, los cuales permiten que solo una instancia del troyano se ejecute en memoria.
finalmente el troyano realizara las siguientes acciones:
finaliza el siguiente proceso taskmgr.exe, perteneciente al administrador de tareas de windows. abre el puerto tcp 33322 y queda a la espera de recibir ordenes remotas del atacante. env?a informaci?n del computador a trav?s del puerto backdoor que abre en el sistema atacado, la informaci?n es enviada a los siguientes sitios web. http://avistrade.ru/prog/img/[removido]/xxx3.php http://mir-vesov.ru/p/lang/[removido]/xxx3.php http://monomah-city.ru/[removido]/xxx3.php http://pvcps.ru/[removido]/xxx3.php http://roszvetmet.com/[removido]/xxx3.php http://schiffsparty.de/bilder/[removido]/xxx3.php http://service6.valuehost.ru/[removido]/xxx3.php http://stroyindustry.ru/service/[removido]/xxx3.php http://vladzernoproduct.ru/control/[removido]/xxx3.php http://www.13tw22rigobert.de/[removido]/kopie-von-fantasie-in-blau/xxx3.php http://www.deadlygames.de/dg/bf/bf-links/[removido]/xxx3.php http://www.emil-zittau.de/[removido]/xxx3.php http://www.etype.hostingcity.net/mysql_admin_new/[removido]/xxx3.php http://www.levada.ru/htmlarea/[removido]/xxx3.php http://www.mirage.ru/sport/omega/[removido]/omega/xxx3.php http://www.ordendeslichts.de/[removido]/xxx3.php http://8marta.ru/img/[removido]/xxx3.php http://asvt.ru/[removido]/xxx3.php http://calimasurf.com/[removido]/base/orig/xxx3.php http://celebrationsinspain.com/[removido]/xxx3.php http://coral-adventures.com/[removido]/xxx3.php http://dearruthie.com/[removido]/xxx3.php http://dmax.ru/[removido]/xxx3.php http://efpa-eg.net/[removido]/xxx3.php http://ferrumcomp.ru/[removido]/xxx3.php http://financialbusiness.ca/[removido]/xxx3.php http://golden-ring.net/[removido]/xxx3.php http://goodbathscents.com/[removido]/xxx3.php http://jamminjo.com/[removido]/xxx3.php http://kmold.biz/[removido]/xxx3.php http://kokon.com/[removido]/xxx3.php http://komt.ru/[removido]/xxx3.php http://magian.ru/[removido]/xxx3.php http://merkur-akademie.de/[removido]/xxx3.php http://nakorable.ru/htdocs/[removido]/xxx3.php http://optimsasia.com/[removido]/xxx3.php http://raz-naraz.wz.cz/html/[removido]/xxx3.php http://redshop.ru/[removido]/xxx3.php http://sdom.ru/[removido]/xxx3.php http://spbso.ru/[removido]/xxx3.php http://tarkan.ru/[removido]/xxx3.php http://transaerotours.ru/[removido]/xxx3.php http://www.ipromocionales.com/[removido]/xxx3.php http://www.katjas-reisen.de/blog/[removido]/colors/xxx3.php http://www.moscowapartments.ru/[removido]/_vti_cnf/xxx3.php http://www.pechki.ru/[removido]/xxx3.php http://www.rhone.ch/[removido]/xxx3.php http://www.zdom.ru/[removido]/xxx3.php seguidamente intentar? descargar cada hora una lista de direcciones ip de los siguientes sitios web, la lista es guardada dentro del computador atacado en el archivo system \ban_list.txt. http://avistrade.ru/prog/[removido]/proizvod/blst.php http://mir-vesov.ru/p/lang/[removido]/blst.php http://monomah-city.ru/[removido]/blst.php http://pvcps.ru/[removido]/blst.php http://service6.valuehost.ru/[removido]/blst.php http://www.13tw22rigobert.de/[removido]/kopie-von-fantasie-in-blau/blst.php http://trehrechie.ru/[removido]/blst.php http://turnstylesticketing.com/[removido]/blst.php http://twilightzone.cz/[removido]/blst.php http://vniipo.ru/[removido]/_notes/blst.php http://voelckergmbh.de/[removido]/blst.php http://vserozetki.ru/[removido]/blst.php http://vtr-spb.ru/fp/mikrobus/[removido]/blst.php http://www.belteh.ru/[removido]/ludi/blst.php http://www.bmblawfirm.com/[removido]/blst.php http://www.enertelligence.com/playitsafe/[removido]/blst.php http://www.enkor.ru/[removido]/blst.php http://www.g-antssoft.com/[removido]/icon/jpg/blog/blst.php intentar? detener los siguientes servicios para deshabilitar el firewall de windows sharedaccess wscsvc


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo