¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Agent.fxp
Descubierto:25/04/2008
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:23.040 Bytes
Suma de control MD5:9481e26583db9d77b301b1232d786e84
Versión del IVDF:7.00.03.213 - viernes, 25 de abril de 2008

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan.Win32.Agent.fxp
   •  F-Secure: Trojan.Win32.Agent.fxp
   •  Sophos: W32/IRCBot-ACE
   •  Eset: Win32/IRCBot.AAH
   •  Bitdefender: Win32.Worm.Slenfbot.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\texds.exe



Elimina la copia inicial del virus.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
   • Terminal Execution Exchange Deamon Service = texds.exe

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: secure.freebsd.la
Puerto: 9798
Contraseña del servidor: su1c1d3
Canal: #ghetto#
Apodo: \00\USA\%serie de caracteres aleatorios%
Contraseña: 3atsh1t

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes serán eliminadas.

– El acceso a los siguientes dominios está bloqueado:
   • jayloden.com; www.jayloden.com; www.spywareinfo.com; spywareinfo.com;
      www.spybot.info; spybot.info; kaspersky.com; kaspersky-labs.com;
      www.kaspersky.com; www.majorgeeks.com; majorgeeks.com;
      securityresponse.symantec.com; symantec.com; www.symantec.com;
      updates.symantec.com; liveupdate.symantecliveupdate.com;
      liveupdate.symantec.com; customer.symantec.com; update.symantec.com;
      www.sophos.com; sophos.com; www.virustotal.com; virustotal.com;
      www.mcafee.com; mcafee.com; rads.mcafee.com; mast.mcafee.com;
      download.mcafee.com; dispatch.mcafee.com; us.mcafee.com;
      www.trendsecure.com; trendsecure.com; www.viruslist.com;
      viruslist.com; www.hijackthis.de; hijackthis.de; f-secure.com;
      www.f-secure.com; Merijn.org; www.Merijn.org; www.avp.com; avp.com;
      analysis.seclab.tuwien.ac.at; www.bleepingcomputer.com;
      bleepingcomputer.com; trendmicro.com; www.trendmicro.com;
      www.safer-networking.org; safer-networking.org; grisoft.com;
      www.grisoft.com




El fichero host modificado se verá así:


 Tecnología Rootkit Es una tecnología específica para los virus. El programa malicioso oculta su presencia ante las herramientas del sistema, ante las aplicaciones de seguridad y, finalmente, ante el usuario.


Oculta las siguientes:
– Su propio proceso

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Andrei Gherman el viernes, 25 de julio de 2008
Descripción actualizada por Andrei Gherman el viernes, 25 de julio de 2008

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.