Trojan/Daymay
Imprimir descripción de Virus
Nombre: Trojan/Daymay
Alias: Trojan.Daymay
Tipo: Troyano
Tamaño: 393,216 bytes
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 06/02/2008.

Descripción:

Trojan/Daymay, troyano que al ejecutarse crea los siguientes archivos:

  • %userprofile%\Configuración local\Temp\svchost.exe
  • %windir%\wmupdate.exe

Nota:

- %windir% representa la carpeta de Windows (Ej. C:\WINDOWS, C:\WINNT).

- %userprofile% representa la carpeta de configuración del Usuario (Ej. C:\DOCUMENTS AND SETTINGS\USUARIO).

Seguidamente el troyano crea el siguiente archivo de texto:

  • [CARPETA ACTUAL]\Node00000000.ini

Luego el troyano crea la siguiente entrada de registro logrando ejecutarse en cada inicio de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"wmupdate" = "%Windir%\wmupdate.exe"

 

Seguidamente el troyano crea las siguientes entradas de registro:

HHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\IcmpSettings
"AllowInboundEchoRequest" = "1"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
"[RUTA DEL TROYANO]" = "[RUTA DEL TROYANO]:*:Enabled

Luego el troyano elimina las siguientes sub-llaves de registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyOverride

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL

Tambié modifica las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"ProxyEnable" = "0"

HKEY_CURRENT_CONFIG\Software\Microsoft\Windows\CurrentVersion\Internet Settings
"ProxyEnable" = "0"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
"ProxyBypass" = "1"
"IntranetName" = "1"
"UNCAsIntranet" = "1"

Luego el troyano trata de conectarse a las siguientes direcciones web:

  • http://www.maydaynet2008.co.uk
  • http://75.126.177.141/~mer[OCULTO]

El troyano puede realizar las siguientes acciones:

  • Obtener una lista de P2P conectados.
  • Obtener una lista de direcciones de correo.
  • Obtener los mensajes enviados.
  • Obtener estadísticas de conexión.
  • Descargar archivos.

Finalmente el troyano puede enviar correos SPAM a las cuentas de correo obtenidas.

Los mensajes SPAM contienen los siguiente:

Currently, the following email message can be retrieved from the server:
Did you know you can era [OCULTO] espond to this email and be take off of subscriber list if
you wish. Thanks and have a great day.

Derechos reservados 1992/2008 HackSoft S.R.L. Lima-Perú