Nombre:TR/Renos.28160
Descubierto:18/01/2007
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:28.160 Bytes
Suma de control MD5:1ac77505fc560F58c1fb5f944a4c3336
Versión del VDF:6.37.00.171
Versión del IVDF:6.37.00.187 - jueves 18 de enero de 2007

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Downloader-AFH
   •  Kaspersky: not-virus:Hoax.Win32.Renos.gs
   •  F-Secure: not-virus:Hoax.Win32.Renos.gs
   •  Sophos: Troj/Spywad-AO
   •  Eset: Win32/Adware.SpySheriff


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Descarga ficheros dañinos
   • Modificaciones en el registro

 Ficheros Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www.SpyMarshal.com/**********
El fichero está guardado en el disco duro en: %PROGRAM FILES%\SpyMarshal.exe

– La dirección es la siguiente:
   • http://www.SpyMarshal.com/**********
El fichero está guardado en el disco duro en: %PROGRAM FILES%\SpyMarshal.lic

– La dirección es la siguiente:
   • http://www.SpyMarshal.com/**********
El fichero está guardado en el disco duro en: %PROGRAM FILES%\SpyMarshal0.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: PHISH/FraudTool.SpySheriff.A.6


– La dirección es la siguiente:
   • http://www.SpyMarshal.com/**********
El fichero está guardado en el disco duro en: %PROGRAM FILES%\SpyMarshal0.sm

– La dirección es la siguiente:
   • http://www.SpyMarshal.com/**********
El fichero está guardado en el disco duro en: %PROGRAM FILES%\SpyMarshal1.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Zlob.127488


– La dirección es la siguiente:
   • http://www.SpyMarshal.com/**********
El fichero está guardado en el disco duro en: %PROGRAM FILES%\SpyMarshal1.sm

– La dirección es la siguiente:
   • http://www.SpyMarshal.com/**********
El fichero está guardado en el disco duro en: %PROGRAM FILES%\SpyMarshal2.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: PHISH/FraudTool.SpySheriff.A.5


– La dirección es la siguiente:
   • http://www.SpyMarshal.com/**********
El fichero está guardado en el disco duro en: %PROGRAM FILES%\SpyMarshal3.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: PHISH/FraudTool.SpySheriff.A.7


– La dirección es la siguiente:
   • http://www.SpyMarshal.com/**********
El fichero está guardado en el disco duro en: %PROGRAM FILES%\Uninstall.exe

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • Windows update loader = %WINDIR%\xpupdate.exe
   • SpyMarshal = %PROGRAM FILES%\SpyMarshal\SpyMarshal.exe



Modifica las siguientes claves del registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   ActiveDesktop]
   Nuevo valor:
   • NoChangingWallpaper = dword:00000000
   • NoComponents = dword:00000000
   • NoAddingComponents = dword:00000000
   • NoDeletingComponents = dword:00000000
   • NoEditingComponents = dword:00000000
   • "NoHTMLWallPaper"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • NoActiveDesktop = dword:00000000
   • ClassicShell = dword:00000000
   • ForceActiveDesktopOn = dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuevo valor:
   • Wallpaper = %WINDIR%\desktop.html

– [HKCU\Software\Microsoft\Internet Explorer\Desktop\General]
   Nuevo valor:
   • WallpaperFileTime = %valores hex%
   • WallpaperLocalFileTime = %valores hex%
   • ComponentsPositioned = dword:00000002

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Andrei Gherman el martes 20 de marzo de 2007
Descripción actualizada por Andrei Gherman el martes 20 de marzo de 2007

Volver . . . .