Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Nombre:TR/Obisty.A
Descubierto:19/12/2012
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Medio
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:148.992 Bytes
Suma de control MD5:89FA070B12AEE94C97F15AFBC8404E00
Versión del VDF:7.11.54.86 - miércoles, 19 de diciembre de 2012
Versión del IVDF:7.11.54.86 - miércoles, 19 de diciembre de 2012

 General Método de propagación:
   • Al visitar sitios Web infectados

Detección similar:
   •  JS/Redirector.SB
   •  EXP/Pidief.zar


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %APPDATA%\KB%serie de caracteres aleatorios de ocho dígitos%.exe



Crea el siguiente fichero:

%TEMPDIR%\exp3.tmp.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%serie de caracteres aleatorios de ocho dígitos% .exe

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • http://84.22.100.108:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://182.237.17.180:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://123.49.61.59:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://204.15.30.202:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://64.76.19.236:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://59.90.221.6:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://210.56.23.100:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://94.73.129.120:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://174.143.174.136:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://203.217.147.52:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://74.207.237.170:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://23.29.73.220:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://69.64.89.82:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://74.63.229.10:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://74.86.113.66:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://174.121.188.156:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://50.22.94.96:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://173.203.102.204:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://74.117.107.25:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://174.142.68.239:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://188.212.156.170:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://188.120.226.30:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://78.28.120.32:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://217.65.100.41:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://81.93.250.157:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://188.40.109.204:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el método HTTP POST, empleando un script PHP.

 Inyectar el código viral en otros procesos – Se inserta como amenaza en los procesos.

Se inserta en todos los procesos.


 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Die Beschreibung wurde erstellt von Liviu Serban am Mittwoch, 19. Dezember 2012
Die Beschreibung wurde geändert von Andrei Gherman am Mittwoch, 19. Dezember 2012

zurück . . . .