Nombre:TR/Drop.Stration.677
Descubierto:26/10/2006
Tipo:Troyano
Subtipo:Dropper
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:109.100 Bytes
Suma de control MD5:41b787a3275255e4e17360ba59cdc763
Versión del VDF:6.36.01.60
Versión del IVDF:6.36.01.63 - martes 21 de noviembre de 2006

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: W32/Stration@MM
   •  Kaspersky: Email-Worm.Win32.Warezov.dq
   •  Sophos: W32/Stratio-BW
   •  Eset: Win32/Stration.KQ

Identificado anteriormente como:
   •  TR/Hijack.Explor.677


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Crea los siguientes ficheros:

%SYSDIR%\audmgr32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Warezov.DQ

%SYSDIR%\audconf.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Warezov.DQ.2

%SYSDIR%\audperf.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Warezov.DQ.10

%SYSDIR%\audprf32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Warezov.DQ.3

%SYSDIR%\audstat.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Warezov.DQ.6

%SYSDIR%\confaud.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/Warezov.DQ.1

 Registro Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   audmgr]
   • "Asynchronous"=dword:00000000
   • "DllName"="audmgr32.dll"
   • "Impersonate"=dword:00000000
   • "Startup"="WlxStartup"
   • "Shutdown"="WlxShutdown"



Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   Valor anterior:
   • "AppInit_DLLs"=""
   Nuevo valor:
   • "AppInit_DLLs"=" confaud.dll audstat.dll"

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • MEW

Descripción insertada por Monica Ghitun el jueves 26 de octubre de 2006
Descripción actualizada por Adriana Popa el martes 21 de noviembre de 2006

Volver . . . .