¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:ADSPY/ISearch.d.2
Descubierto:22/11/2005
Tipo:Troyano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:852.566 Bytes
Suma de control MD5:f822ce94e5bfa827143a8457c70F9210
Versin del VDF:6.32.00.207

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Mcafee: Adware-Isearch.dr.
   •  VirusBuster: trojan Adware.DR.CommAd.A
   •  Bitdefender: Trojan.Proxy.493


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Crea los siguientes ficheros:

Ficheros no maliciosos:
   • %appdata%\NetMon\domains.txt
   • %appdata%\NetMon\log.txt

%WINDIR%\TmFtZQ\asappsrv.dll
%WINDIR%\TmFtZQ\command.exe
%WINDIR%\TmFtZQ\nAIQtk.vbs
%PROGRAM FILES%\Network Monitor\netmon.exe
%WINDIR%\uninstall_nmon.vbs

La direccin es la siguiente:
   • http://command.adservs.com/binaries/**********
El fichero est guardado en el disco duro en: %SYSDIR%\atmtd.dll Los anlisis adicionales indicaron que este fichero es tambin viral.

 Registro Aade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"=%valores hex%
   • "DisplayName"="Network Monitor"
   • "ObjectName"="LocalSystem"

HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor\Security
   • "Security"=%valores hex%

HKLM\SYSTEM\CurrentControlSet\Services\Network Monitor\Enum
   • "0"="Root\\LEGACY_NETWORK_MONITOR\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000
   • "Service"="Network Monitor"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Network Monitor"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORK_MONITOR\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="Network Monitor"

HKLM\SYSTEM\CurrentControlSet\Services\cmdService
   • "Type"=dword:00000110
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"=%valores hex%
   • "DisplayName"="Command Service"
   • "ObjectName"="LocalSystem"

HKLM\SYSTEM\CurrentControlSet\Services\cmdService\Security
   • "Security"=%valores hex%

HKLM\SYSTEM\CurrentControlSet\Services\cmdService\Enum
   • "0"="Root\LEGACY_CMDSERVICE\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000
   • "Service"="cmdService"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Command Service"

HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CMDSERVICE\0000\
   Control
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="cmdService"



Aade las siguientes claves al registro:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {3877C2CD-F137-4144-BDB2-0A811492F920}
   • "Contact"="Customer Support Department"
   • "DisplayName"="Command"
   • "DisplayVersion"="1.0.1"
   • "NoModify"=dword:00000001
   • "NoRemove"=dword:00000000
   • "NoRepair"=dword:00000001
   • "UninstallString"="wscript "%WINDIR%\TmFtZQ\nAIQtk.vbs""

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   {A394E835-C8D6-4B4B-884B-D2709059F3BE}
   • "Contact"="Customer Support Department"
   • "DisplayName"="Network Monitor"
   • "DisplayVersion"="6.0.1"
   • "NoModify"=dword:00000001
   • "NoRemove"=dword:00000000
   • "NoRepair"=dword:00000001
   • "UninstallString"="wscript "%WINDIR%\uninstall_nmon.vbs""

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • http://80gw6ry3i3x3qbrkwhxhw.032439.com/client.php?str=/**********
   • http://u9zqi6cq.124365.com/**********

Esto se realiza mediante una interrogacin HTTP GET en un script PHP.


Capabilidades de control remoto:
     Descargar fichero
     Visitar un sitio web

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Delphi.

Descripción insertada por Ionut Slaveanu el miércoles 24 de mayo de 2006
Descripción actualizada por Andrei Gherman el miércoles 7 de junio de 2006

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.