Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

ProxyServer.D

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

ProxyServer.D realiza las siguientes acciones:

  • Descarga tres DLLs accediendo a un script PHP que se encuentra alojado en la página web http://z.pro<bloqueado>.ru.
    Las DLLs descargadas son: PFPLGNFO.DLL, PFPLGPRX.DLL y PFPLGSCN.DLL.
  • Utiliza técnicas de rootkit para ocultar los archivos descargados.
  • Instala un driver en el ordenador afectado.
  • Crea un servidor proxy en un puerto aleatorio.
  • Intenta descargarse el programa ICQ desde una cierta página web, para medir la velocidad de conexión del ordenador afectado.
  • También envía un ping a varias direcciones IP para averiguar la velocidad de respuesta.
  • Envía la información recopilada junto con la dirección IP y el puerto a través de un script PHP que se encuentra alojado en la siguiente página web:
    http://z.pro<bloqueado>.ru

Metodo de Infección 

ProxyServer.D crea los siguientes archivos:

 

ProxyServer.D crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_NDISFILTER
    NextInstance = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    Class = LegacyDriver
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    ConfigFlags = 00, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    DeviceDesc = NdisFilter
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    Legacy = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    Service = NdisFilter
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_NDISFILTER\ 0000\ Control
    *NewlyCreated* = 00, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Enum\ Root\ LEGACY_NDISFILTER\ 0000\ Control
    ActiveService = NdisFilter
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ NdisFilter
    DisplayName = NdisFilter
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ NdisFilter
    ErrorControl = 00, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ NdisFilter
    Group = Base
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ NdisFilter
    ImagePath =     %sysdir%\drivers\ndisfilter.sys
    donde %sysdir% es el directorio de sistema de Windows.
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ NdisFilter
    Start = 02, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ NdisFilter
    Type = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ NdisFilter\ Enum
    0 = Root\LEGACY_NDISFILTER\0000
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ NdisFilter\ Enum
    Count = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ NdisFilter\ Enum
    NextInstance = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ NdisFilter\ Security
    Security = 01, 00, 14, 80, 90, 00, 00, 00, 9C, 00, 00, 00, 14, 00, 00, 00, 30, 00, 00, 00, 02, 00, 1C, 00, 01, 00, 00, 00, 02, 80, 14, 00, FF, 01, 0F, 00, 01, 01, 00, 00, 00, 00, 00, 01, 00, 00, 00, 00, 02, 00, 60, 00, 04, 00, 00, 00, 00, 00, 14, 00, FD, 01, 02, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00, 00, 00, 18, 00, FF, 01, 0F, 00, 01, 02, 00, 00, 00, 00, 00, 05, 20, 00, 00, 00, 20, 02, 00, 00, 00, 00, 14, 00, 8D, 01, 02, 00, 01, 01, 00, 00, 00, 00, 00, 05, 0B, 00, 00, 00, 00, 00, 18, 00, FD, 01, 02, 00, 01, 02, 00, 00, 00, 00, 00, 05, 20, 00, 00, 00, 23, 02, 00, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_NDISFILTER
    NextInstance = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    Class = LegacyDriver
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    ConfigFlags = 00, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    DeviceDesc = NdisFilter
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    Legacy = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_NDISFILTER\ 0000
    Service = NdisFilter
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_NDISFILTER\ 0000\ Control
    *NewlyCreated* = 00, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Enum\ Root\ LEGACY_NDISFILTER\ 0000\ Control
    ActiveService = NdisFilter
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NdisFilter
    DisplayName = NdisFilter
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NdisFilter
    ErrorControl = 00, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NdisFilter
    Group = Base
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NdisFilter
    ImagePath =     %sysdir%\drivers\ndisfilter.sys
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NdisFilter
    Start = 02, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NdisFilter
    Type = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NdisFilter\ Enum
    0 = Root\LEGACY_NDISFILTER\0000
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NdisFilter\ Enum
    Count = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NdisFilter\ Enum
    NextInstance = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ NdisFilter\ Security
    Security = 01, 00, 14, 80, 90, 00, 00, 00, 9C, 00, 00, 00, 14, 00, 00, 00, 30, 00, 00, 00, 02, 00, 1C, 00, 01, 00, 00, 00, 02, 80, 14, 00, FF, 01, 0F, 00, 01, 01, 00, 00, 00, 00, 00, 01, 00, 00, 00, 00, 02, 00, 60, 00, 04, 00, 00, 00, 00, 00, 14, 00, FD, 01, 02, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00, 00, 00, 18, 00, FF, 01, 0F, 00, 01, 02, 00, 00, 00, 00, 00, 05, 20, 00, 00, 00, 20, 02, 00, 00, 00, 00, 14, 00, 8D, 01, 02, 00, 01, 01, 00, 00, 00, 00, 00, 05, 0B, 00, 00, 00, 00, 00, 18, 00, FD, 01, 02, 00, 01, 02, 00, 00, 00, 00, 00, 05, 20, 00, 00, 00, 23, 02, 00, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00
    Mediante estas entradas, el archivo NDISFILTER.SYS se registra como un driver denominado NdisFilter. De esta manera, consigue ejecutarse cada vez que Windows se inicia.

Método de Propagación 

ProxyServer.D no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles  

ProxyServer.D está escrito en el lenguaje de programación Visual C++ v6. Este troyano tiene un tamaño de 29296 Bytes.
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info