• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    Cuidado con FFSearcher.dll

    Nombre completo: Trojan.W32/FFSearcher.dll Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo. Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, ...

          
    1. #1
      Usuario Avatar de JuanD:
      Registrado
      jul 2008
      Ubicación
      Venezuela
      Mensajes
      1.962

      Malware Cuidado con FFSearcher.dll

      Nombre completo: Trojan.W32/FFSearcher.dll
      Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
      Tamaño (bytes): 76800
      Alias:TROJ_FFSEARCH.A (Trend Micro), http://vil.nai.com/vil/content/v_174334.htm (McAfee)
      Detalles

      Método de Infección/Efectos

      Cuando se ejecuta por primera vez, el troyano se instala a sí mismo como un Stream alternativo (ADS) dentro de un fichero NTFS legítimo del sistema:
      %System%\netcfgx.dll

      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
      Nota:En los sistemas de archivo NTFS (disponible en Windows NT, 2000 y XP), los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream". Puede compararse esto a tener varios archivos comprimidos dentro de un solo .ZIP. Cada stream es accesible como un archivo individual llamado ADS (Alternate Data Stream). Para más información puede leer la siguiente explicación.

      El nombre del ADS es:
      %System%\netcfgx.dll:Zone.Identifier

      También instala otros dos ADS en:
      %windir%\win32k.sys:1
      %windir%\win32k.sys:2

      El troyano modifica la siguiente entrada del registro de Windows para conseguir ser ejecutado en cada inicio del sistema:
      Clave:HKEY_CLASSES_ROOT\CLSID\{5B035261-40F9-11D1-AAEC-00805FC1270E}\
      InProcServer32

      Valor:(Default) = "%System%\netcfgx.dll:Zone.Identifier"


      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

      El troyano se conecta con la siguiente URL para descargarse un fichero de configuración:
      http://wxtr812.com/{CARACTERES_ALEATORIOS}?version=

      El fichero descargado es almacenado como:
      %AllUsers%\Documents\gifnoc.xtx

      Nota: %AllUsers% es una variable que hace referencia al directorio del perfil de All Users. Por defecto es C:\Documents and Settings\All Users (Windows NT/2000/XP).

      El troyano una vez instalado, monitoriza el navegador web por defecto del sistema comprometido y redirige las búsquedas al sitio web que se le indica en el fichero de configuración descargado.

      Método de Propagación

      Los troyanos por lo general no disponen de una rutina propia de propagación. Suelen llegar a la máquina infectada por correo, descargados a través de redes P2P, descargados inadvertidamente mientras el usuario visita paginas maliciosas, etc.


      Fuente
      Última edición por JuanD: fecha: 07/07/09 a las 21:40:50

    2. #2
      Usuario Avatar de chemanika
      Registrado
      mar 2009
      Ubicación
      Managua, Nicaragua
      Mensajes
      48

      Re: Cuidado con FFSearcher.dll

      Gracias por la Info juan...... es posible que este se propague por las USB no sabes....???

    3. #3
      Usuario Avatar de JuanD:
      Registrado
      jul 2008
      Ubicación
      Venezuela
      Mensajes
      1.962

      Re: Cuidado con FFSearcher.dll

      Hola

      En lo ultimo dice, "Los troyanos por lo general no disponen de una rutina propia de propagación". Asi que si posiblemente este troyano se puede propagar por USB.


      Salu2

    4. #4
      Usuario Avatar de chemanika
      Registrado
      mar 2009
      Ubicación
      Managua, Nicaragua
      Mensajes
      48

      Re: Cuidado con FFSearcher.dll

      y que tan dañino realmnete crees que sea este troyano.... lo considerarias en extremo peligroso o es como cualquier otro troyano que no digo que sean algo para tomarse a la ligera pero digamos que en general la mayoria tienen solucion y no te afectan demasiado cuando los detectas a temprano tiempo

    5. #5
      Usuario Avatar de kikiko
      Registrado
      abr 2009
      Ubicación
      Vitoria (españa)
      Mensajes
      376

      Re: Cuidado con FFSearcher.dll

      Datos Técnicos
      Peligrosidad: 1 - Mínima | Difusión: Baja | Daño: Medio |Dispersibilidad: Bajo | Fecha de Alta:07-07-2009
      Última Actualización:07-07-2009

      [Explicación de los criterios]
      Nombre completo: Trojan.W32/FFSearcher.dll
      Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
      Tamaño (bytes): 76800
      Alias:TROJ_FFSEARCH.A (Trend Micro), http://vil.nai.com/vil/content/v_174334.htm (McAfee)

      Todo el que este intresesado en este virus-troyano
      (pagina del ministerio de ciencia y tecnologia)
      Alerta-Antivirus.es: Detalles del virus FFSearcher.dll

    6. #6
      Usuario Avatar de elgustaso
      Registrado
      ene 2006
      Ubicación
      USA
      Mensajes
      2

      Re: Cuidado con FFSearcher.dll

      gracias por el detalle... tendre mas cuidado cuando este en la red

    7. #7
      Usuario Avatar de GBE90
      Registrado
      nov 2007
      Ubicación
      Venezuela
      Mensajes
      670

      Bien Re: Cuidado con FFSearcher.dll

      Hola buenas no sabes que antivirus ya lo detectan?? gracias por la informacion!

    8. #8
      Usuario Avatar de GBE90
      Registrado
      nov 2007
      Ubicación
      Venezuela
      Mensajes
      670

      Bien Re: Cuidado con FFSearcher.dll

      Jeje ya vi NOD32 lo detecta Win32/Injector.QH (ESET) jeje si quieren saber mas visiten:

      http://cert.inteco.es/virusSearch/Actualidad/Actualidad_Virus/ultimos_virus_encontrados/?postAction=getLatestVirus&All=1

      Aparece la informacion completa gracias!!