¿Necesita arreglar su PC?
Contrate un experto
Nombre:TR/Agent.172032.6
Descubierto:16/04/2007
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:172.032 Bytes
Suma de control MD5:50fcc03125d42d7e1251d006eba8b12a
Versión del VDF:6.38.00.220
Versión del IVDF:6.38.00.224 - lunes, 16 de abril de 2007

 General    • No tiene rutina propia de propagación


Alias:
   •  Mcafee: W32/Zaflen.a
   •  Kaspersky: Worm.Win32.VB.gr
   •  F-Secure: Worm.Win32.VB.gr
   •  Sophos: W32/Lovelet-AD
   •  Panda: W32/Nedro.C.worm
   •  Eset: Win32/VB.BP
   •  Bitdefender: Win32.Worm.VB.TC


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\lsass.exe
   • %SYSDIR%\mskernel.exe
   • %WINDIR%\setup\mskernel.exe
   • %WINDIR%\services.exe
   • %WINDIR%\gorgle\csrss.exe
   • %ALLUSERSPROFILE%\Desktop\Microsoft Word Document.scr
   • %ALLUSERSPROFILE%\Start Menu\Programs\Microsoft Word Document.scr
   • %ALLUSERSPROFILE%\Start Menu\New Microsoft Word Document.scr
   • %ALLUSERSPROFILE%\Start Menu\Programs\Startup\folderwiz.com
   • %HOME%\NetHood\Hot Picture.com
   • %HOME%\My Documents\My Picture.com
   • %HOME%\PrintHood\Printing Information.com
   • %HOME%\Recent\New Microsoft Word Document.scr
   • %HOME%\SendTo\Image Editor.com
   • %HOME%\Start Menu\Image Viewer.com
   • %HOME%\My Documents\My Picture.com
   • %HOME%\My Documents\MyPictures\mskernel.exe
   • %HOME%\My Documents\Rated R Pictures.com
   • %WINDIR%\AutoRun.ini
   • C:\CoolWorld.exe
   • %WINDIR%\agila.scr
   • %HOME%\Local Settings\Application Data\Microsoft\CD Burning\CoolWorld.exe



Crea el siguiente fichero:

– C:\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [autorun]
     open=CoolWorld.exe
     shell\open=Open
     shell\open\Command=CoolWorld.exe
     shell\open\Default=1
     shell\explore=Explore
     shell\explore\Command=CoolWorld.exe

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • Shell="explorer.exe "%WINDIR%\services.exe""
   • Userinit="%SYSDIR%\userinit.exe,%WINDIR%\gorgle\csrss.exe,"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
   Run]
   • (Default)="%SYSDIR%\mskernel.exe"

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • (Default)="\WINDOWS\lsass.exe"
   • WinRun="%WINDIR%\AutoRun.ini"



Añade las siguientes claves al registro:

– [HKCR\Folder\shell\About Us\Command]
– [HKLM\Software\Microsoft\Windows\System\Malicious]
   • Sams32="0212"



Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • Run=dword:00000001
   • NoFolderOptions=dword:00000001
   • NoRun=dword:00000001

Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   Nuevo valor:
   • DisableRegistryTools=dword:00000001

– [HKCR\avifile\shell\open\command]
   Nuevo valor:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

– [HKCR\piffile\shell\open\command]
   Nuevo valor:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

– [HKCR\artfile\shell\open\command]
   Nuevo valor:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

– [HKCR\datfile\shell\open\command]
   Nuevo valor:
   • (Default)=""%WINDIR%\setup\mskernel.exe" "

– [HKCR\exefile]
   Nuevo valor:
   • NeverShowExt="

– [HKCR\scrfile]
   Nuevo valor:
   • NeverShowExt="
     (Default)="Microsoft Word Document"

– [HKCR\batfile]
   Nuevo valor:
   • NeverShowExt="

– [HKCR\comfile]
   Nuevo valor:
   • NeverShowExt="
     (Default)="JPEG Image"

– [HKCR\comfile\defaulticon]
   Nuevo valor:
   • (Default)="shimgvw.dll,3"

– [HKLM\SOFTWARE\Microsoft\Windows]
   Nuevo valor:
   • ScanningSystemDrive="False"

– [HKCR\batfile\shell\edit\command]
   Nuevo valor:
   • (Default)=hex(2):73,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,20,00,2d,00,73,00,20,00,2d,00,66,00,20,00,2d,00,74,00,20,00,30,00,00,00

– [HKCR\inifile\shell\open\command]
   Nuevo valor:
   • (Default)=hex(2):22,00,25,00,31,00,22,00,20,00,25,00,2a,00,00,00

 Finalización de los procesos Listado de los procesos finalizados:
   • avgctrl.exe; kav.exe; avgamsvr.exe; avgserv.exe; avgmsvr.exe;
      avgcc32.exe; avgcc.exe; avginet.exe; avgupsvc.exe; avgemc.exe;
      avgnt.exe; avgregcl.exe; avgserv9.exe; avgw.exe; alogserv.exe;
      avsynmgr.exe; Mpfsheild.exe; MpfAgent.exe; mpf.exe; MpfConsole.exe;
      mcagent.exe; mcappins.exe; McDash.exe; mcdetect.exe; mcinfo.exe;
      mcmnhdlr.exe; mcshield.exe; mctskshd.exe; mcupdate.exe; mcvsescn.exe;
      mcvsshld.exe; avpcc.exe; mcvsftsn.exe; mcvsrte.exe; vstskmgr.exe;
      vsmain.exe; vshwin32.exe; pccpfw.exe; pccclient.exe; pcclient.exe;
      pccguide.exe; pccnt.exe; pccntmon.exe; pccntupd.exe; PcCtlCom.exe;
      pcscan.exe; avpm.exe; kavsvc.exe; AVENGINE.EXE; nisserv.exe;
      NISUM.exe; Navapsvc.exe; NMain.exe; Navapw32.exe; VetMsg.exe;
      VetTray.exe; Vet32.exe; VetNT.exe; vsmon.exe; zlclient.exe; zapro.exe;
      zonealarm.exe; APVXDWIN.EXE; AVLITE.EXE; AVLTMAIN.EXE; AVTASK.EXE;
      LUPGCONF.EXE; PAVSRV51.EXE; PavPrSrv.exe


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Ernest Szocs el miércoles, 7 de noviembre de 2007
Descripción actualizada por Ernest Szocs el jueves, 8 de noviembre de 2007

Volver . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos los derechos reservados.

Mi Cuenta

https:// Esta ventana está cifrada para su seguridad.