Nombre:TR/KillAV.HI.2
Descubierto:25/04/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:74.240 Bytes
Suma de control MD5:0E54d1548c0F7d1afc2778d5f6dc8f5f
Versión del VDF:6.34.01.04

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan.Win32.KillAV.hi
   •  TrendMicro: TROJ_BRIZ.G
   •  VirusBuster: trojan Trojan.KillAV.DT
   •  Bitdefender: Backdoor.Agent.HB


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Desactiva los programas de seguridad
   • Modificaciones en el registro

 Ficheros  Elimina el siguiente fichero:
   • C:\Program Files\McAfee.com\Agent\mctskshd.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Windows Logon Process" = "%WINDIR%\winlogon.exe"
   • "Microsoft Windows Session Manager Subsystem" = "%WINDIR%\smss.exe"

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios está bloqueado:
   • 10.0.0.5 avp.com; 10.0.0.5 kaspersky.com; 10.0.0.5 kaspersky-labs.com;
      10.0.0.5 updates1.kaspersky.com; 10.0.0.5 updates2.kaspersky.com;
      10.0.0.5 updates3.kaspersky.com; 10.0.0.5 updates-us1.kaspersky.com;
      10.0.0.5 downloads1.kaspersky.com; 10.0.0.5
      downloads-us1.kaspersky.com; 10.0.0.5 www.avp.com; 10.0.0.5
      www.kaspersky.com; 10.0.0.5 d-ru-1f.kaspersky-labs.com; 10.0.0.5
      d-ru-1h.kaspersky-labs.com; 10.0.0.5 d-ru-2f.kaspersky-labs.com;
      10.0.0.5 d-ru-2h.kaspersky-labs.com; 10.0.0.5
      d-eu-2f.kaspersky-labs.com; 10.0.0.5 d-eu-2h.kaspersky-labs.com;
      10.0.0.5 d-eu-1f.kaspersky-labs.com; 10.0.0.5
      d-eu-1h.kaspersky-labs.com; 10.0.0.5 d-us-1f.kaspersky-labs.com;
      10.0.0.5 d-us-1h.kaspersky-labs.com; 10.0.0.5 downloads1.kaspersky.ru;
      10.0.0.5 downloads2.kaspersky.ru; 10.0.0.5 downloads3.kaspersky.ru;
      10.0.0.5 downloads4.kaspersky.ru; 10.0.0.5 downloads5.kaspersky.ru;
      10.0.0.5 eset.com; 10.0.0.5 www.eset.com; 10.0.0.5 u2.eset.com;
      10.0.0.5 u3.eset.com; 10.0.0.5 u4.eset.com; 10.0.0.5 u7.eset.com;
      10.0.0.5 82.165.250.33; 10.0.0.5 82.165.237.14; 10.0.0.5
      www.nod32.com; 10.0.0.5 nod32.com; 10.0.0.5 eset.casablanca.cz;
      10.0.0.5 casablanca.cz; 10.0.0.5 customer.symantec.com; 10.0.0.5
      liveupdate.symantec.com; 10.0.0.5 liveupdate.symantecliveupdate.com;
      10.0.0.5 securityresponse.symantec.com; 10.0.0.5 symantec.com;
      10.0.0.5 update.symantec.com; 10.0.0.5 updates.symantec.com; 10.0.0.5
      www.symantec.com; 10.0.0.5 www.norton.com; 10.0.0.5 norton.com;
      10.0.0.5 mast.mcafee.com; 10.0.0.5 mcafee.com; 10.0.0.5
      rads.mcafee.com; 10.0.0.5 www.mcafee.com; 10.0.0.5 mcafee.com;
      10.0.0.5 us.mcafee.com; 10.0.0.5 dispatch.mcafee.com; 10.0.0.5
      download.mcafee.com; 10.0.0.5 metalhead2005.info; 10.0.0.5
      my-etrust.com; 10.0.0.5 nai.com; 10.0.0.5 networkassociates.com;
      10.0.0.5 secure.nai.com; 10.0.0.5 sophos.com; 10.0.0.5 trendmicro.com;
      10.0.0.5 viruslist.com; 10.0.0.5 viruslist.com; 10.0.0.5 www.ca.com;
      10.0.0.5 www.f-secure.com; 10.0.0.5 www.microsoft.com; 10.0.0.5
      www.my-etrust.com; 10.0.0.5 www.nai.com; 10.0.0.5
      www.networkassociates.com; 10.0.0.5 www.sophos.com; 10.0.0.5
      www.trendmicro.com; 10.0.0.5 www.viruslist.com; 10.0.0.5 ca.com;
      10.0.0.5 d66.myleftnut.info; 10.0.0.5 f-secure.com




El fichero host modificado se verá así:


 Finalización de los procesos El siguiente proceso es finalizado:
   • mctskshd.exe


Desactiva el siguiente servicio:
   • McAfee Task Scheduler

 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • www.microsoft.com


Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • - ORiEN executable files protection system -
   • ------ Created by A. Fisun, 1994-2003 ------
   • ------- WWW: http://zale**********/ -------
   • -------- e-mail: zale********** ---------
   • --------------------------------------------
   • Well, you got this text, but this will be all you get :)

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Daniel Constantin el jueves 11 de mayo de 2006
Descripción actualizada por Andrei Gherman el viernes 12 de mayo de 2006

Volver . . . .