Lootseek.DD
PeligrosidadDañoPropagación

Efectos 

Lootseek.DD realiza las siguientes acciones:

• Se conecta a un servidor IRC, para recibir órdenes de control remoto, como descargar y ejecutar archivos, que pueden ser de cualquier naturaleza, incluyendo malware.
• Descarga y ejecuta el troyano detectado como Rizalof.DC en el ordenador afectado.
• Finaliza varios procesos correspondientes a herramientas de seguridad y actualizaciones de Windows.

Metodo de Infección 

Lootseek.DD crea los siguientes archivos en el directorio de sistema de Windows:

• SMSS.EXE. Este archivo es una copia del backdoor.
• NVSVCD.EXE.

Lootseek.DD crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  nvsvcd = %sysdir%\smss.exe/w
  donde %sysdir% es el directorio de sistema de Windows.
  Mediante esta entrada, Lootseek.DD consigue ejecutarse cada vez que Windows se inicia.
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log\Security
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Log\Security
  Mediante estas entradas, el componente de Lootseek.DD NVSVCD.EXE se registra como un servicio denominado Windows Log.
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows Log
  ImagePath = %sysdir%\nvsvcd.exe

Método de Propagación 

Lootseek.DD no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles  

Lootseek.DD está escrito en el lenguaje Ensamblador v7.10 compilado con Masm. Este backdoor tiene un tamaño de 49152 Bytes y está comprimido mediante UPX.