Enciclopedia de Virus
Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Rizalof.DC utiliza el ordenador afectado como plataforma para enviar spam. Para ello, realiza el siguiente proceso:
- Se conecta a una página web para descargarse un archivo de texto que contiene el siguiente listado de URLs:
http://seek11.lootseek<bloqueado>?lin=100&db=spyg2ah
http://seek11.lootseek<bloqueado>?lin=100&db=hdd_us
http://seek11.lootseek<bloqueado>?lin=100&db=nd2gaa
http://seek11.lootseek<bloqueado>?lin=100&db=nd2gab
http://seek11.lootseek<bloqueado>?lin=100&db=nd2gac
http://seek11.lootseek<bloqueado>?lin=100&db=nd2gad
http://seek11.lootseek<bloqueado>?lin=100&db=nd2gae
http://seek11.lootseek<bloqueado>?lin=100&db=spyg2ag
http://seek11.lootseek<bloqueado>?lin=100&db=spyg3aa
http://seek11.lootseek<bloqueado>?lin=100&db=spyg3ab
http://seek11.lootseek<bloqueado>?lin=100&db=spyg3ac
http://seek11.lootseek<bloqueado>?lin=100&db=spygav
http://seek11.lootseek<bloqueado>?lin=100&db=spygaw
http://seek11.lootseek<bloqueado>?lin=100&db=spygax
http://seek11.lootseek<bloqueado>?lin=100&db=spygay
http://seek5.lootseek<bloqueado>?lin=100&db=gaa
http://seek5.lootseek<bloqueado>?lin=100&db=gab
http://seek5.lootseek<bloqueado>?lin=100&db=gac
http://seek5.lootseek<bloqueado>?lin=100&db=gad
http://seek5.lootseek<bloqueado>?lin=100&db=gae
http://seek5.lootseek<bloqueado>?lin=100&db=spygaa
http://seek5.lootseek<bloqueado>?lin=100&db=spygab
http://seek5.lootseek<bloqueado>?lin=100&db=spygac
http://seek5.lootseek<bloqueado>?lin=100&db=spygad
http://seek5.lootseek<bloqueado>?lin=100&db=spygae
http://seek5.lootseek<bloqueado>?lin=100&db=spygaf
http://seek5.lootseek<bloqueado>?lin=100&db=spygag
http://seek5.lootseek<bloqueado>?lin=100&db=spygah
http://seek5.lootseek<bloqueado>?lin=100&db=spygai
http://seek5.lootseek<bloqueado>?lin=100&db=spygaj
http://seek5.lootseek<bloqueado>?lin=100&db=spygak
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2aa
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2ab
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2ac
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2ad
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2ae
http://seek7.lootseek<bloqueado>?lin=100&db=spyg2af
http://seek7.lootseek<bloqueado>?lin=100&db=spygal
http://seek7.lootseek<bloqueado>?lin=100&db=spygam
http://seek7.lootseek<bloqueado>?lin=100&db=spygan
http://seek7.lootseek<bloqueado>?lin=100&db=spygao
http://seek7.lootseek<bloqueado>?lin=100&db=spygap
http://seek7.lootseek<bloqueado>?lin=100&db=spygaq
http://seek7.lootseek<bloqueado>?lin=100&db=spygar
http://seek7.lootseek<bloqueado>?lin=100&db=spygas
http://seek7.lootseek<bloqueado>?lin=100&db=spygat
http://seek7.lootseek<bloqueado>?lin=100&db=spygau
http://seekj.lootseek<bloqueado>/s3.2.txt
- Desde estas páginas web se descarga pares de nombres y direcciones de correo electrónico, que utilizará como remitentes o destinatarios del spam.
- Para contactar con los servidores SMTP de estas direcciones, Rizalof.DC utiliza una consulta DNS al registro MX del ordenador.
- Después, envía mensajes de spam a dichas direcciones.
Método de Propagación
Rizalof.DC llega al ordenador descargado por el backdoor detectado como Lootseek.DD.
Otros Detalles
Rizalof.DC está escrito en el lenguaje Ensamblador v7.10 compilado con Masm. Este troyano tiene un tamaño de 59904 Bytes y está comprimido mediante UPX.