Nombre:TR/Agent.YU.2
Descubierto:12/09/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:137.216 Bytes
Suma de control MD5:c6dad9eb2cf8de75a481122094b303e3
Versión del VDF:6.35.01.215
Versión del IVDF:6.35.01.219 - miércoles 13 de septiembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan.Win32.Agent.yu
   •  TrendMicro: TROJ_AGENT.ETQ
   •  F-Secure: Trojan.Win32.Agent.yu
   •  Eset: Win32/Agent.YU


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe
   • %WINDIR%\WinSxS\Manifests\SMSS.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ALG"="%WINDIR%\ime\imkr6_1\dicts\SVCHOST.exe"
   • "SERVICES"="%WINDIR%\WinSxS\Manifests\SMSS.exe"



Añade la siguiente clave al registro:

– [HKCU\Software\Obsidium]


Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
   Valor anterior:
   • "NoStartMenuMFUprogramsList"=%configuración definida por el usuario%
   • "NoStartMenuPinnedList"=%configuración definida por el usuario%
   • "NoStartMenuSubFolders"=%configuración definida por el usuario%
   • "NoCommonGroups"=%configuración definida por el usuario%
   • "NoSMMyPictures"=%configuración definida por el usuario%
   • "NoStartMenuMyMusic"=%configuración definida por el usuario%
   • "NoSMMyDocs"=%configuración definida por el usuario%
   • "NoDesktop"=%configuración definida por el usuario%
   • "NoActiveDesktop"=%configuración definida por el usuario%
   • "NoViewOnDrive"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
   Valor anterior:
   • "NoViewContextMenu"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoViewContextMenu"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Start_ShowRun"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   Valor anterior:
   • "NoViewContextMenu"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoViewContextMenu"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Valor anterior:
   • "Start_ShowRun"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start_ShowRun"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Valor anterior:
   • "NoStartMenuPinnedList"=%configuración definida por el usuario%
   • "NoStartMenuMFUprogramsList"=%configuración definida por el usuario%
   • "NoStartMenuSubFolders"=%configuración definida por el usuario%
   • "NoCommonGroups"=%configuración definida por el usuario%
   • "NoSMMyPictures"=%configuración definida por el usuario%
   • "NoStartMenuMyMusic"=%configuración definida por el usuario%
   • "NoSMMyDocs"=%configuración definida por el usuario%
   • "NoDesktop"=%configuración definida por el usuario%
   • "NoActiveDesktop"=%configuración definida por el usuario%
   • "NoViewOnDrive"=%configuración definida por el usuario%
   • "NoControlPanel"=%configuración definida por el usuario%
   • "NoDrives"=%configuración definida por el usuario%
   • "NoRun"=%configuración definida por el usuario%
   • "NoFind"=%configuración definida por el usuario%
   • "NoFavoritesMenu"=%configuración definida por el usuario%
   • "NoRecentDocsMenu"=%configuración definida por el usuario%
   • "NoLogOff"=%configuración definida por el usuario%
   • "NoClose"=%configuración definida por el usuario%
   • "NoSaveSettings"=%configuración definida por el usuario%
   • "NoUserNameInStartMenu"=%configuración definida por el usuario%
   • "NoToolbarCustomize"=%configuración definida por el usuario%
   • "NoThemesTab"=%configuración definida por el usuario%
   • "NoSMHelp"=%configuración definida por el usuario%
   • "NoPrinterTabs"=%configuración definida por el usuario%
   • "NoPrinters"=%configuración definida por el usuario%
   • "NoNetHood"=%configuración definida por el usuario%
   • "NoManageMyComputerVerb"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoStartMenuPinnedList"=dword:00000001
   • "NoStartMenuMFUprogramsList"=dword:00000001
   • "NoStartMenuSubFolders"=dword:00000001
   • "NoCommonGroups"=dword:00000001
   • "NoSMMyPictures"=dword:00000001
   • "NoStartMenuMyMusic"=dword:00000001
   • "NoSMMyDocs"=dword:00000001
   • "NoDesktop"=dword:00000001
   • "NoActiveDesktop"=dword:00000001
   • "NoViewOnDrive"=dword:00000001
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

La página de inicio de Internet Explorer:
– [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • "Start Page"=%configuración definida por el usuario%
   • "Window title"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • "Start Page"=%configuración definida por el usuario%
   • "Window title"=%configuración definida por el usuario%
   • "NoControlPanel"=%configuración definida por el usuario%
   • "NoDrives"=%configuración definida por el usuario%
   • "NoRun"=%configuración definida por el usuario%
   • "NoFind"=%configuración definida por el usuario%
   • "NoFavoritesMenu"=%configuración definida por el usuario%
   • "NoRecentDocsMenu"=%configuración definida por el usuario%
   • "NoLogOff"=%configuración definida por el usuario%
   • "NoClose"=%configuración definida por el usuario%
   • "NoSaveSettings"=%configuración definida por el usuario%
   • "NoUserNameInStartMenu"=%configuración definida por el usuario%
   • "NoToolbarCustomize"=%configuración definida por el usuario%
   • "NoThemesTab"=%configuración definida por el usuario%
   • "NoSMHelp"=%configuración definida por el usuario%
   • "NoPrinterTabs"=%configuración definida por el usuario%
   • "NoPrinters"=%configuración definida por el usuario%
   • "NoNetHood"=%configuración definida por el usuario%
   • "NoManageMyComputerVerb"=%configuración definida por el usuario%
   Nuevo valor:
   • "Start Page"="http://poetry.rotten.com/uday/index18.html"
   • "Window title"=":::::::::::::::::: ÌÎß ÏÈÇÄÀ ÑÃÍÈËÀ È ÕÓÉ ÏÐÎÒÓÕ ::::::::::::::::::"
   • "NoControlPanel"=dword:00000001
   • "NoDrives"=dword:00000414
   • "NoRun"=dword:00000001
   • "NoFind"=dword:00000001
   • "NoFavoritesMenu"=dword:00000001
   • "NoRecentDocsMenu"=dword:00000001
   • "NoLogOff"=dword:00000001
   • "NoClose"=dword:00000001
   • "NoSaveSettings"=dword:00000001
   • "NoUserNameInStartMenu"=dword:00000001
   • "NoToolbarCustomize"=dword:00000001
   • "NoThemesTab"=dword:00000001
   • "NoSMHelp"=dword:00000001
   • "NoPrinterTabs"=dword:00000001
   • "NoPrinters"=dword:00000001
   • "NoNetHood"=dword:00000001
   • "NoManageMyComputerVerb"=dword:00000001

Desactivar Regedit y el Administrador de Tareas:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   Valor anterior:
   • "DisableTaskMgr"=%configuración definida por el usuario%
   • "DisableRegistryTools"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Valor anterior:
   • "DisableTaskMgr"=%configuración definida por el usuario%
   • "NoDispCPL"=%configuración definida por el usuario%
   • "DisableRegistryTools"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableTaskMgr"=dword:00000001
   • "NoDispCPL"=dword:00000001
   • "DisableRegistryTools"=dword:00000001

Reduce las opciones de seguridad de Internet Explorer:
– [HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions]
   Valor anterior:
   • "NoBrowserClose"=%configuración definida por el usuario%
   • "NoNavButtons"=%configuración definida por el usuario%
   • "NoSelectDownloadDir"=%configuración definida por el usuario%
   • "NoBrowserContextMenu"=%configuración definida por el usuario%
   • "NoBrowserOptions"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoBrowserClose"=dword:00000001
   • "NoNavButtons"=dword:00000001
   • "NoSelectDownloadDir"=dword:00000001
   • "NoBrowserContextMenu"=dword:00000001
   • "NoBrowserOptions"=dword:00000001

Formato de la hora:
– [HKCU\Control Panel\International]
   Valor anterior:
   • "sTimeFormat"=%configuración definida por el usuario%
   Nuevo valor:
   • "sTimeFormat"="ÁËßÄÜ"

– [HKCU\Control Panel\Desktop]
   Valor anterior:
   • "MenuShowDelay"=%configuración definida por el usuario%
   • "WallpaperOriginX"=%configuración definida por el usuario%
   • "WallpaperOriginY"=%configuración definida por el usuario%
   Nuevo valor:
   • "MenuShowDelay"="9999"
   • "WallpaperOriginX"="210"
   • "WallpaperOriginY"="187"

– [HKLM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
   Nuevo valor:
   • "DiskSpaceThreshold"=dword:00000099

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "LegalNoticeCaption"=%configuración definida por el usuario%
   • "LegalNoticeText"=%configuración definida por el usuario%
   Nuevo valor:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü.  îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon]
   Valor anterior:
   • "LegalNoticeCaption"=%configuración definida por el usuario%
   • "LegalNoticeText"=%configuración definida por el usuario%
   Nuevo valor:
   • "LegalNoticeCaption"="DANGER"
   • "LegalNoticeText"="Äëÿ òîãî ÷òîáû âîññòàíîâèòü íîðìàëüíóþ ðàáîòó ñâîåãî êîìïüþòåðà íå ïîòåðÿâ ÂÑÞ èíôîðìàöèþ! È ñ ýêîíîìèâ äåíüãè, ïðèøëè ìíå íà e-mail nice@privat.ms êîä ïîïîëíåíèÿ ñ÷åòà êèåâñòàð íà 25 ãðèâåíü.  îòâåò â òå÷åíèå äâåíàäöàòè ÷àñîâ íà ñâîé e-mail òû ïîëó÷èøü ôàèë äëÿ óäàëåíèÿ ýòîé ïðîãðàììû."

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   Valor anterior:
   • "DisableSR"=%configuración definida por el usuario%
   • "RPLifeInterval"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableSR"=dword:00000001
   • "RPLifeInterval"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Uninstall]
   Valor anterior:
   • "NoAddRemovePrograms"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoAddRemovePrograms"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Uninstall]
   Valor anterior:
   • "NoAddRemovePrograms"=%configuración definida por el usuario%
   Nuevo valor:
   • "NoAddRemovePrograms"=dword:00000001

 Finalización de los procesos  Listado de los servicios desactivados:
   • System Restore
   • Task Manager

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Adriana Popa el viernes 27 de octubre de 2006
Descripción actualizada por Adriana Popa el lunes 30 de octubre de 2006

Volver . . . .