Nombre:TR/Agent.AKB.2
Descubierto:18/10/2006
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:646.419 Bytes
Suma de control MD5:1c3569b0b1a18f7d627e7a75d83e473b
Versión del VDF:6.36.00.127
Versión del IVDF:6.36.00.144 - viernes 20 de octubre de 2006

 General Alias:
   •  Kaspersky: Backdoor.Win32.VB.awr


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Bloquea el acceso a ciertos sitios web
   • Desactiva los programas de seguridad
   • Suelta un fichero
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro
   • Roba informaciones
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\svchost.exe



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– Fichero no malicioso:
   • %WINDIR%\MSWINSCK.OCX

%WINDIR%\offlog.txt En este fichero se registran las pulsaciones de teclado.

 Registro Las siguientes claves del registro se encuentran en un bucle infinito, añadido para ejecutar los procesos al reiniciar el sistema.

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
   • "Windows Update"="%WINDIR%\scvhost.exe"

–  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {C010EB0F-A43D-A989-FF0A-C6CF6D0D5EB3}
   • "StubPath"="%WINDIR%\scvhost.exe"



Modifica la siguiente clave del registro:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Valor anterior:
   • "DisableRegistryTools"=%configuración definida por el usuario%
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios está bloqueado:
   • dl1.avgate.net
   • dl2.avgate.net
   • dl3.avgate.net
   • dl4.avgate.net
   • dl5.avgate.net
   • dl6.avgate.net
   • dl7.avgate.net
   • dl8.avgate.net
   • dl9.avgate.net


 Finalización de los procesos  Listado de los servicios desactivados:
   • NOD32krn
   • navapsvc
   • AntiVirService
   • antivir

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • exclusive72.no-ip.**********:1338

De esta forma, puede enviar informaciones y obtener el control remoto.

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas tipeadas en los campos de contraseñas

– Captura:
    • Pulsaciones de teclado

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Bogdan Iliuta el lunes 30 de octubre de 2006
Descripción actualizada por Bogdan Iliuta el miércoles 15 de noviembre de 2006

Volver . . . .