| Nombre común: Pushdo.C
Nombre técnico: Trj/Pushdo.C
Peligrosidad: Media
Tipo: Troyano
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 20/07/2008
Detección actualizada: 23/07/2008
Estadísticas No
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Pushdo.C es un troyano que descarga gran cantidad de malware en el ordenador afectado, poniendo en peligro la seguridad del sistema y la información almacenada en el mismo.
Además, envía información sobre el ordenador y el troyano a determinados servidores a los que su autor puede acceder. Permite ser administrado remotamente y recibir instrucciones de su creador, como obtener estadísticas de infección.
Síntomas Visibles
Pushdo.C es difícil de reconocer a simple vista, ya que no muestra mensajes o avisos que alerten sobre su presencia.
Efectos
Pushdo.C realiza las siguientes acciones:
Envía diversa información sobre el ordenador afectado y el troyano a ciertos servidores. La información que envía es la siguiente:
- dirección IP.
- versión del sistema operativo.
- número de serie del disco duro.
- tipo de sistema de archivos del disco duro.
- si el usuario es administrador o no.
- versión del troyano.
- número de veces que se ha ejecutado el troyano.
Comprueba si están en memoria alguno de los siguientes procesos pertenecientes a programas antivirus:
ARMOR2NET.EXE
AVP.EXE
BLACKD.EXE
DRWEB32W.EXE
IPFSRV.EXE
KPF4SS.EXE
LIVESRV.EXE
MCAGENT.EXE
MCLOGSRV.EXE
MCPROMGR.EXE
MCTSKSHD.EXE
MCUIMGR.EXE
MCUPDMGR.EXE
MCUSRMGR.EXE
MPSEVH.EXE
NOD32KRN.EXE
NPFSVICE.EXE
OUTPOST.EXE
PAVFNSVR.EXE
PAVSRV51.EXE
PXAGENT.EXE
SAFENSEC.EXE
SSPFWTRY2.EXE
SYMLCSVC.EXE
VSMON.EXE
VSSERV.EXE
XCOMMSVR.EXE
Si es así, reporta también esta información a los mismos servidores mencionados previamente.
Descarga malware desde estos mismos servidores. El malware que descarga puede ser de cualquier tipo, lo que convertiría el sistema afectado en una puerta de entrada de numerosos codigos maliciosos.
Puede ser administrado remotamente y recibir diferentes instrucciones, como obtener estadísticas de la infección del troyano o información del usuario afectado.
Metodo de Infección
Pushdo.C crea un archivo llamado ???48.SYS en la carpeta drivers del directorio de sistema de Windows. Este archivo se registra como driver del sistema, lo que le permite dificultar su detección y su eliminación.
donde %???% representa 3 caracteres aleatorios.
Pushdo.C crea las entradas necesarias en el Registro de Windows para instalarse como driver y poder ejecutarse incluso iniciando el ordenador en modo seguro.
Algunas de las entradas que crea son las siguientes:
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Control\ SafeBoot\ Minimal\???48.sys
(Default) = Driver
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_???48
NextInstance = 01, 00, 00, 00
HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_???48\ 0000\ Control
ActiveService = ???48
Método de Propagación
Pushdo.C está siendo distribuido en mensajes de correo electrónico que contienen una tarjeta de felicitación. Estas tarjetas incluyen un enlace, que si se pulsa, se descarga una copia del troyano.
Sin embargo, Pushdo.C no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación.
Otros Detalles
Pushdo.C está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 31232 Bytes.
|
|
