|
Efectos:
Fantibag.A impide el acceso a una serie de sitios web, relacionados mayoritariamente con compañías antivirus: 212.113.20.69
216.200.68.152
63.210.193.12
84.53.142.22
84.53.142.6
ad.doubleclick.net
ad.fastclick.net
ads.fastclick.net
antivir.de
ar.atwola.com
atdmt.com
avp.com
avp.ch
avp.ru
awaps.net
banner.fastclick.net
banners.fastclick.net
bitdefender.com
ca.com
clamav.net
click.atdmt.com
clicks.atdmt.com
customer.symantec.com
dispatch.mcafee.com
download.mcafee.com
download.microsoft.com
downloads.microsoft.com
downloads1.kaspersky-labs.com
downloads2.kaspersky-labs.com
downloads3.kaspersky-labs.com
downloads4.kaspersky-labs.com
downloads-eu1.kaspersky-labs.com
downloads-us1.kaspersky-labs.com
downloads-us2.kaspersky-labs.com
downloads-us3.kaspersky-labs.com
drweb.com
drweb.ru
engine.awaps.net
fastclick.net
f-secure.com
ftp.avp.ch
ftp.downloads2.kaspersky-labs.com
ftp.f-secure.com
ftp.kasperskylab.ru
ftp.sophos.com
ftpav.ca.com
go.microsoft.com
grisoft.com
ids.kaspersky-labs.com
kaspersky.com
kaspersky.ru
kaspersky-labs.com
liveupdate.symantec.com
liveupdate.symantecliveupdate.com
mast.mcafee.com
mcafee.com
media.fastclick.net
msdn.microsoft.com
my-etrust.com
nai.com
networkassociates.com
office.microsoft.com
pandasoftware.com
phx.corporate-ir.net
rads.mcafee.com
ravantivirus.com
secure.nai.com
securityresponse.symantec.com
service1.symantec.com
sophos.com
spd.atdmt.com
support.microsoft.com
symantec.com
trendmicro.com
update.symantec.com
updates.symantec.com
updates1.kaspersky-labs.com
updates2.kaspersky-labs.com
updates3.kaspersky-labs.com
updates4.kaspersky-labs.com
updates5.kaspersky-labs.com
us.mcafee.com
vil.nai.com
viruslist.com
viruslist.ru
windowsupdate.microsoft.com
www.antivir.de
www.avp.com
www.avp.ch
www.avp.ru
www.awaps.net
www.bitdefender.com
www.ca.com
www.clamav.net
www.drweb.com
www.fastclick.net
www.f-secure.com
www.grisoft.com
www.kaspersky.com
www.kaspersky.ru
www.kaspersky-labs.com
www.mcafee.com
www.my-etrust.com
www.nai.com
www.networkassociates.com
www.pandasoftware.com
www.ravantivirus.com
www.sophos.com
www.symantec.com
www.trendmicro.com
www.viruslist.com
www.viruslist.ru
www3.ca.com El método empleado para conseguirlo es el siguiente: - Realiza consultas DNS para resolver la dirección IP de dichos dominios.
- Utiliza funciones API correspondientes a RRAS (Routing and Remote Access Service), que proporcionan capacidades de filtrado de paquetes.
- Utilizando dichas funciones, crea reglas para denegar las comunicaciones con dichos dominios.
Metodo de infección:
Fantibag.A crea los siguientes archivos: - FIREWALL_ANTI.EXE en el directorio de Windows. Este archivo es una copia del troyano.
- FIREWALL_ANTI.EXE.DLL, en el directorio de sistema de Windows. Este archivo es una DLL (Librería de Enlace Dinámico), que se inyecta en el proceso de sistema explorer.exe y deniega el acceso a determinados sitios web.
Fantibag.A crea la siguiente entrada en el Registro de Windows: - HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
firewall_anti = %windir%\ firewall_anti.exe
donde %windir% es el directorio de Windows.
Mediante esta entrada, Fantibag.A consigue ejecutarse siempre que Windows se inicia.
Metodo de propagación:
Fantibag.A no se propaga automáticamente por sus propios medios. Es descargado en el ordenador por otro troyano, detectado como Mitglieder.EV. Otros detalles:
Fantibag.A está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 102916 Bytes, y está comprimido. |
