Descripción completa

Nombre:	TR/PSW.Nilage.abh.1
Descubierto:	01/12/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	44.217 Bytes
Suma de control MD5:	9934b38446510bf7518207a0da22631c
Versión del VDF:	6.36.01.114
Versión del IVDF:	6.36.01.119 - viernes 1 de diciembre de 2006

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Trojan-PSW.Win32.Nilage.abh
   • F-Secure: Trojan-PSW.Win32.Nilage.abh
   • Eset: Win32/PSW.Legendmir

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta un fichero
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\SERVICES.EXE
   • %SYSDIR%\rundll32.com
   • %SYSDIR%\finder.com
   • %WINDIR%\finder.com
   • %SYSDIR%\command.pif
   • %PROGRAM FILES%\Internet Explorer\iexplore.com
   • %PROGRAM FILES%\Common Files\iexplore.pif
   • %WINDIR%\explorer.com
   • %WINDIR%\1.com
   • %WINDIR%\ExERoute.exe
   • %SYSDIR%\MSCONFIG.COM
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com
   • %WINDIR%\Debug\DebugProgram.exe
   • D:\pagefile.pif

Crea el siguiente fichero:

– D:\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [autorun]
     OPEN=D:\pagefile.pif

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Torjan Program"="%WINDIR%\SERVICES.EXE"

Añade las siguientes claves al registro:

– [HKCR\winfiles]
– [HKCR\winfiles\DefaultIcon]
   • @="%1"

– [HKCR\winfiles\Shell\Open\Command]
   • @="%WINDIR%\ExERoute.exe "%1" %*"

Modifica las siguientes claves del registro:

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • "Check_Associations"=%configuración definida por el usuario%
   Nuevo valor:
   • "Check_Associations"="No"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Shell"="Explorer.exe"
   Nuevo valor:
   • "Shell"="Explorer.exe 1"

– [HKCR\.exe]
   Valor anterior:
   • @="exefiles"
   Nuevo valor:
   • @="winfiles"

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuevo valor:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.com" -nohome"

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Nuevo valor:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– [HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\
   OpenHomePage\Command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe""
   Nuevo valor:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.com""

– [HKCR\ftp\shell\open\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Nuevo valor:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"

– @=""%PROGRAM FILES%\Internet Explorer\iexplore.com" %1"
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuevo valor:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.com" -nohome"

– [HKCR\htmlfile\shell\opennew\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Nuevo valor:
   • @=""%PROGRAM FILES%\common~1\iexplore.pif" %1"

– [HKCR\http\shell\open\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuevo valor:
   • @=""%PROGRAM FILES%\common~1\iexplore.pif" -nohome"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuevo valor:
   • @=""%PROGRAM FILES%\common~1\iexplore.pif" -nohome"

Finalización de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • RAVMON; TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV; KREG;
      IEFIND; IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA; TROJAN;
      MMSK

Robo de informaciones Intenta robar las siguientes informaciones:

– Las contraseñas de los siguientes programas:
   • World of Old Oriental Legends
   • World of Warcraft
   • Zhengtu

– Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • us.logon.worldofwarcraft.com
   • eu.logon.worldofwarcraft.com
   • tw.logon.worldofwarcraft.com

– Captura:
    • Informaciones para iniciar sesión

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• NSPack

Descripción insertada por Adriana Popa el jueves 4 de enero de 2007
Descripción actualizada por Adriana Popa el viernes 5 de enero de 2007

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas