Trojan/Darkmoon.D

Trojan/Darkmoon.D

Nombre:	Trojan/Darkmoon.D Alias: Backdoor.Darkmoon.D
Tipo:	Troyano Backdoor
Tamaño:	144,688 Bytes
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.1 al 11/04/2007.

Descripción:

Trojan/Darkmoon.D, es un troyano que permite el acceso remoto y no permitido de un intruso a la computadora infectada, tiene características de Keylogger (captura las pulsaciones de teclado)

Cuando el troyano se ejecuta se copia a si mismo con todos sus componentes dentro de:

%system%\Zxftajzo.dll
%system%\Zxftajzo.drv
%system%\Zxftajzo.sys

También crea los siguientes archivos

%system%\Zxftajzo.log
%Temp%\3322.exe
%Temp%\CBEDe.exe
%Temp%\–k’©‘N‚Ìƒ~ƒTƒCƒ‹Šî’nˆÊ’u.doc

Nota:

- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Además crea las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Zxftajzo

También crea las siguientes entradas en el registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

"ProxyEnable"="0x00000000"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

"SavedLegacySettings"="3C 00 00 00 01 00 00 00 09 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections

"DefaultConnectionSettings"="3C 00 00 00 01 00 00 00 09 00 00 00 00 00 00 00 00 00 00 00 00 00 00

00 04 00 00 00 19 00 00 00 68 74 74 70 3A 2F 2F 31 32 37 2E 30 2E 30 2E 31 2F 77 70 61 64 2E 64

61 74 70 B7 5A 74 79 7B C7 01 01 00 00 00 0A A8 82 BB 00 00 00 00 00 00 00 00"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dmserver\Parameters

"ServiceDll"="%SystemRoot%\System32\Zxftajzo.dll"

Seguidamente crea una instancia de si mismo y lo inyecta dentro de los procesos del "IEXPLORE.EXE", de esta manera el troyano se comunica con un servidor remoto y no es detectado por los Firewalls.

Captura todas las pulsaciones de teclado y los guarda en un archivo de nombre "Zxftajzo.log" dentro de la carpeta %TEMP%

Abre una puerta trasera en el puerto TCP 1080 e intenta comunicarse con el siguiente servidor fgye008.3322.org.

Finalmente el troyano permite a un atacante remoto realizar las siguientes acciones en el computador atacado:

Descargar y subir archivos.
Ejecutar archivos.
Ejecutar comandos.
Iniciar un Servidor Proxy local.