Nombre:W32/Hidrag.a
Descubierto:13/04/2005
Tipo:Infector de ficheros
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:No
Tamaño:~ 36.352 Bytes
Versión del VDF:6.30.00.93

 General Método de propagación:
   • Unidades de red mapeadas


Alias:
   •  Symantec: W32.Jeefo
   •  Mcafee: W32/Jeefo
   •  Kaspersky: Virus.Win32.Hidrag.a
   •  TrendMicro: PE_JEEFO.A
   •  F-Secure: Virus.Win32.Hidrag.a
   •  Sophos: W32/Jeefo-A
   •  Grisoft: Win32/Hidrag.A
   •  Eset: Win32/Jeefo.A
   •  Bitdefender: Win32.Jeefo.A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro




   

   Description

   W32/Hidrag.a is a non-dangerous memory resident virus that infects Win32 PE EXE files.

   The virus searches for files to infect and upon infection it encrypts part of the file.

   When an infected file is executed, it drops the first-generation infector in the Windows directory as svchost.exe, which is registered as "Power Manager" service (on Windows NT/2000/XP). The virus then executes the original file without manifesting itself in any way.

 Ficheros Crea el siguiente fichero:

%WINDIR%\svchost.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: W32/Hidrag.a

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\svchost.exe"
   • "DisplayName"="Power Manager"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the power save features of the computer."

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager\Enum]
   • "0"="Root\\LEGACY_POWERMANAGER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • PowerManagerMutant


Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
   • Hidden Dragon virus. Born in a tropical swamp.

Descripción insertada por Daniel Constantin el martes 3 de abril de 2007
Descripción actualizada por Daniel Constantin el martes 3 de abril de 2007

Volver . . . .