variante modificada de spy.goldun.hp (CERRADO)

[tetaman]

jelou este es mi primer post y era para pedir ayuda con un troyano que constantemente me detecta el nod 32

dice ser una variante modificada de spy.goldun.hp me esta matando por que aunque elimine los archivos infectados no desaparece la infeccion y no puedo navegar seguro por internet

espero encontrar respuestas en este foro y gracias de antemano!!!!!!! :wink:

[msc hotline sat]

Envianos los ficheros que te detecte infectados y los monitorizaremos y controlaremos con nuevas versiones de nuestras utilidades, deshaciendo lo que hayan hecho en el registro y demas



recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=45334





saludos



ms, 29-01-2007

[msc hotline sat]

Pues buscando informacion, parece ser de órdago:



Rootkit, Backdoor, downloader... malicioso sin duda:



http://www.avira.com/es/threats/section/fulldetails/id_vir/3117/tr_spy.goldun.hp.9.html


[quote="AVIRA"]
TR/Spy.Goldun.HP.9 - Trojan Vea también

Resumen Descripción completa Estadísticas



How would you rate this information?

Worthless Excellent









Nombre: TR/Spy.Goldun.HP.9

Descubierto: 05/10/2006

Tipo: Troyano

En circulación (ITW): No

Número de infecciones comunicadas: Bajo

Potencial de propagación: Bajo

Potencial dañino: Medio

Fichero estático: Sí

Tamaño: 28.672 Bytes

Suma de control MD5: 52dbd97018e9275766fe4ccdbed1de88

Versión del VDF: 6.36.00.53 - Fri, 22 Sep 2006 16:04 (GMT+1)

Versión del IVDF: 6.36.00.64



General Método de propagación:

• No tiene rutina propia de propagación





Alias:

• Mcafee: PWS-Goldun.dr

• Kaspersky: Trojan-Spy.Win32.Banker.bzd

• TrendMicro: PAK_Generic.001

• Sophos: Troj/Banker-DNM

• Eset: Win32/Spy.Banker.BZD





Plataformas / Sistemas operativos:

• Windows 95

• Windows 98

• Windows 98 SE

• Windows NT

• Windows ME

• Windows 2000

• Windows XP

• Windows 2003





Efectos secundarios:

• Suelta ficheros dañinos

• Modificaciones en el registro

• Roba informaciones



Ficheros Crea los siguientes ficheros:



– %SYSDIR%\agpbrdg5.sys Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Rootkit.Gen



– %SYSDIR%\agpbrdg0.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: BDS/Haxdoor.GJ.1



– %SYSDIR%\ksl48.bin

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:



– [HKLM\SYSTEM\CurrentControlSet\Services\agpbrdg5]

• "Type"=dword:00000001

• "Start"=dword:00000001

• "ErrorControl"=dword:00000000

• "ImagePath"="\??\%SYSDIR%\agpbrdg5.sys"

• "DisplayName"="AGP TO PCIE bridge"



– [HKLM\SYSTEM\CurrentControlSet\Services\agpbrdg5\Security]

• "Security"=%valores hex%



– [HKLM\SYSTEM\CurrentControlSet\Services\agpbrdg5\Enum]

• "0"="Root\\LEGACY_AGPBRDG5\\0000"

• "Count"=dword:00000001

• "NextInstance"=dword:00000001



– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AGPBRDG5\0000]

• "Service"="agpbrdg5"

• "Legacy"=dword:00000001

• "ConfigFlags"=dword:00000000

• "Class"="LegacyDriver"

• "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

• "DeviceDesc"="AGP TO PCIE bridge"



– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AGPBRDG5\0000\

Control]

• "*NewlyCreated*"=dword:00000000

• "ActiveService"="agpbrdg5"







Añade la siguiente clave al registro:



– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

agpbrdg0]

• "nk48id"="[%serie de caracteres aleatorios%]"

• "MaxWait"=dword:00000001

• "Asynchronous"=dword:00000001

• "Impersonate"=dword:00000001

• "Startup"="agpbrdg0"



Backdoor (Puerta trasera) Servidor contactado:

Las siguientes:

• http://www.visualstyleup.com/**********

• http://www.visualstyleup.com/**********

• http://www.creativeby1.unicast.com/script/V2.17/**********



De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP GET y POST, empleando un script PHP.





Envía informaciones acerca de:

• Estado actual del programa viral

• Tiempo de trabajo del programa viral

• Las informaciones recolectadas, descritas en la sección

• Hora del sistema

• Actividad local de los usuarios



Robo de informaciones Intenta robar las siguientes informaciones:

– Contraseñas tipeadas en los campos de contraseñas



– Después de visitar el siguiente sitio web, se crea una rutina para generar ficheros de informe:

• %cualquier página web HTTPS que contenga un formulario de login%





– Captura:

• Informaciones para iniciar sesión



Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %SYSDIR%\agpbrdg0.dll



Los siguientes procesos:

• %todos los procesos se han iniciado después de que el malware es activo en la memoria%

• explorer.exe





Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.





Oculta las siguientes:

– Sus propios ficheros





Método empleado:

• Oculto en Windows API



Engancha las siguientes funciones API:

• NtQueryDirectoryFile/ZwQueryDirectoryFile

• NtCreateProcessEx/ZwCreateProcessEx

• NtCreateProcezz/ZwCreateProcess



Datos del fichero Programa de compresión de ejecutables:

Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.


[/quote]

saludos



ms, 29-01-2007

[msc hotline sat]

Tiene abierto otro TEma en:



https://foros.zonavirus.com/aqui-vp81840.html#81840



no se permite postear en paralelo:



https://foros.zonavirus.com/viewtopic.php?f=1&t=530



se cierra este Tema en consecuencia



saludos



ms, 30-01-2007