Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Dumador.BC

PeligrosidadPeligrosidad altaDañoMuy dañinoPropagaciónPoco extendido

Efectos 

Dumador.BC realiza las siguientes acciones:

  • Registra diversa información y el contenido del Portapapeles en un archivo.
  • Permite controlar remotamente el ordenador afectado, ya que abre dos puertos TCP: el 9125 y otro elegido de una lista.
  • Evita que el usuario pueda acceder a los siguientes sitios web, que pertenecen a varias companías antivirus:

    avp.com
    ca.com
    customer.symantec.com
    dispatch.mcafee.com
    download.mcafee.com
    f-secure.com
    kaspersky.com
    liveupdate.symantec.com
    liveupdate.symantecliveupdate.com
    mast.mcafee.com
    mcafee.com
    my-etrust.com
    nai.com
    networkassociates.com
    rads.mcafee.com
    secure.nai.com
    securityresponse.symantec.com
    sophos.com
    symantec.com
    trendmicro.com
    update.symantec.com
    updates.symantec.com
    us.mcafee.com
    us.mcafee.com/root/
    viruslist.com
    www.avp.com
    www.ca.com
    www.f-secure.com
    www.kaspersky.com
    www.mcafee.com
    www.my-etrust.com
    www.nai.com
    www.networkassociates.com
    www.sophos.com
    www.symantec.com
    www.trendmicro.com
    www.viruslist.com
  • Activa la característica AutoCompletar de Internet Explorer, que recuerda la información introducida en formularios web.
  • En ordenadores con Windows XP Service Pack 2, desactiva el cortafuegos incluido.
  • Dependiendo del sistema operativo Windows del ordenador afectado, realiza diferentes acciones, encaminadas a hacer que su proceso asociado no aparezca en la lista de tareas.
  • Posee capacidad para evitar la detección por parte de cortafuegos orientados a procesos, ya que inyecta su código en el proceso iexplore.exe.

Sin embargo, el código de Dumador.BC contiene varios fallos de programación (bugs), que evitan que algunas de estas características funcionen correctamente.

Metodo de Infección 

Dumador.BC crea los siguientes archivos:

  • WINLDRA.EXE en el directorio de sistema de Windows. Este archivo es una copia del backdoor.
  • DVDP.DLL en el directorio de Windows. Esta DLL (Librería de Enlace Dinámico) contiene una rutina que inspecciona los títulos de las ventanas activas e intercepta las funciones API InternetReadFile y HttpSendRequestA, que están en la librería WININET.DLL. Los datos recogidas son almacenados en el archivo DVP.LOG.
  • NETDX.DAT en el directorio de Windows. Este archivo contiene un identificador alfanumérico del ordenador afectado, generado aleatoriamente la primera vez que se ejecuta el backdoor.
  • PRNTC.LOG. Dumador.BC utiliza este archivo para guardar temporalmente la información del Portapapeles.
  • PRNTSVRA.DLL, en el directorio de Windows. Este archivo es el componente de control remoto, que escucha en dos puertos TCP distintos.
    Con objeto de evitar ser detectado por cortafuegos orientados a procesos, Dumador.BC crea un nuevo proceso de Internet Explorer y se inyecta en él. Escucha ambos puertos y realiza peticiones GET a los siguientes sitios web:
    www. distributed-hostsocks/ bot/ cmd.txt
    La anterior dirección web está mal formada.
    www. distributed-hosting.com /1 /?p= [var1] &machineid= [netdx.dat] &connection= [conn] &iplan= [ip]
    donde: [var1] es un identificador, [netdx.dat] es el identificador del ordenador, que se encuentra dentro del archivo NETDX.DAT, [conn] es un valor bianrio que indica la disponibilidad de conexión a Internet, y [ip] es la dirección IP del adaptador de red.
  • WINSMS.DLL, en el directorio de Windows. Esta librería contiene una función utilizada para esconder el proceso correspondiente a Dumador.BC en ordenadores con Windows XP/2000/NT.
    Inyecta su código en el proceso llamado taskmgr.exe, e intercepta la función API llamada NtQuerySystemInformation, evitando que el proceso que tiene su PID aparezca en la lista de tareas.
  • FE43E701.HTM, en el directorio temporal de Windows. Este archivo almacena la información que el backdoor ha recogido, en formato HTML.

 

Dumador.BC modifica el archivo HOSTS. Mediante esta modificación, Dumador.BC evita que el usuario pueda acceder a diversas páginas web, pertenecientes en su mayoría a compañías antivirus.

 

Dumador.BC crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    load32 = winldra.exe
    Mediante esta entrada, Dumador.BC consigue ejecutarse siempre que Windows se inicia.
  • HKEY_CURRENT_USER\ Software\ SARS
    SocksPort = 53, 95, 00, 00

Dumador.BC modifica las siguientes entradas del Registro de Windows:

  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ AutoComplete
    Append Completion = yes

    HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ AutoComplete
    AutoSuggest = yes
    Modificando estas entradas, Dumador.BC activa la característica AutoCompletar de Internet Explorer, que permite recordar la información introducida en formularios web.
  • Además, en ordenadores con Windows XP Service Pack 2, Dumador.BC desactiva el cortafuegos incluido por defecto, para lo cual modifica varias entradas.

Método de Propagación 

Dumador.BC no se propaga automáticamente por sus propios medios. Es descargado al ordenador por el troyano detectado como Downloader.DCM.

Otros Detalles  

Dumador.BC tiene un tamaño de 24912 Bytes, y está comprimido mediante una versión modificada de FSG.
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info