Trojan.Pandex.AC

SINTOMAS:

Incremento de la actividad de la red.

DESCRIPCIÓN TÉCNICA:

También conocido como:
"Trojan.Kobcka.x", donde “x” represena la variante.

Según la versión del sistema operativo, crea los siguientes archivos:
%SystemRoot%\System32\drivers\runtime.sys
%SystemRoot%\System32\drivers\secdrv.sys
%SystemRoot%\System32\drivers\ip6fw.sys (sobrescribe el archivo original de Windows XP)
%SystemRoot%\System32\drivers\netdtect.sys

Registra estos archivos como servicios añadiendo las siguientes subclaves en el registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\runtime
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\secdrv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ip6fw
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netdtect

Los componentes rootkit se utilizan para evitar el cortafuego de Windows (en los puertos 25, 80, 1000 y 3000) y para ocultar su presencia en el disco y registro.

Crea un proceso ficticio cargando:
%ProgramFiles%\Internet Explorer\IEXPLORE.EXE
Y sobrescribe el proceso de memoria con su propio código malicioso para ocultarse.

 El malware contiene cadenas de caracteres cifradas por el método XOR con una clave de 16 bytes.

El código inyectado empieza a descargar otros archivos desde las siguientes direcciones IP:
75.125.207.50
75.125.207.82
207.218.237.82
74.53.251.34
208.66.195.71

Los archivos descargados se guardan en las siguientes rutas:
 
%SystemRoot%\System32\(cadena_aleatoria)9_exception.nls
%Temp%\(número aleatorio).exe

El archivo descargado se utiliza para propagar mensajes de SPAM.

INSTRUCCIONES DE LIMPIEZA:

Analice sus archivos con BitDefender para desinfectarlos.

ANALIZADO POR:

Marusceac Claudiu Florin, investigador de virus