ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Trojan-Downloader.Win32.IMCdown

Clase Trojan-Downloader
Plataforma Win32
Descripción

Detalles técnicos

Este troyano descarga archivos a través de Internet sin el conocimiento o consentimiento del usuario.

Es un archivo EXE de Windows PE. Está escrito en Borland C ++. Tiene los siguientes componentes:

  • CLIENT.EXE – 57 344 bytes
  • SERVER.EXE – 65 024 bytes
  • X.EXE – 4 096 bytes

Carga útil

El programa Trojan (X.EXE) intenta establecer una conexión TCP a 116.116.199.216:62324 (216.216.216.216:55512). Si no se establece una conexión dentro de 30 segundos, el troyano terminará su proceso. Si se establece una conexión, el troyano creará un archivo llamado "anyfile.exe" en el directorio actual, escribirá los datos descargados en este archivo y luego lo iniciará para su ejecución. El troyano dejará de funcionar.

El troyano usa un servidor ZFTP en el puerto 12345 para descargar datos. Cuando se inicia el componente del cliente (CLIENT.EXE), envía una solicitud de banda ancha para verificar el puerto 12345. Si la dirección de la computadora donde está instalado el componente del servidor (SERVER.EXE) se da como un parámetro de línea de comando, entonces una conexión se establecerá en esta máquina en el puerto designado. Los archivos se descargarán del servidor.

Instrucciones de eliminación

  1. Use el Administrador de tareas para finalizar el proceso del troyano.
  2. Elimine los archivos troyanos originales (la ubicación dependerá de cómo el programa originalmente penetró en la máquina víctima).
  3. Actualice sus bases de datos de antivirus y realice un análisis completo de la computadora ( descargue una versión de prueba de Kaspersky Anti-Virus).

Enlace al original