Trojan/Dlena.CQ

Trojan/Dlena.cq

Nombre:	Trojan/Dlena.cq Alias: Troj/Dlena-B, Trojan-Proxy.Win32.Dlena.cq, Win32/TrojanProxy.Dlena, W32/Dlena.CQ!tr, Win32.Dlena.cq, Win-Trojan/Dlena.31232.O
Tipo:	Troyano
Tamaño:	Variable
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.1 y 6.2 al 16/07/2007

Descripción:

Trojan/Dlena.cq, es un troyano residente en memoria que intenta acceder a Internet y comunicarse con un servidor remoto vía HTTP, también deshabilita el Firewall de Windows.

Cuando el troyano se ejecuta se copia a si mismo como:

%system%\rpcc.dll

Además crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc
"DllName"="%system%\rpcc.dll"

También crea las siguientes entradas en el registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc\"Impersonate"="1"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc\Startup

Finalmente el troyano intenta acceder a Internet y comunicarse con un servidor remoto vía HTTP.