¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Agent.W.45
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:89.600 Bytes
Suma de control MD5:13220535a6b7f53cd2bf352c8445fd3a
Versión del VDF:7.01.01.225
Versión del IVDF:7.01.01.237 - viernes, 6 de febrero de 2009

 General Alias:
   •  Kaspersky: P2P-Worm.Win32.Palevo.asy
   •  Sophos: Mal/Autorun-E
   •  Bitdefender: Trojan.Downloader.Injecter.B


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta un fichero
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • C:\RECYCLER\S-1-5-21-8749679017-0950430147-468708784-3200\hlpsvc.exe



Crea el siguiente fichero:

– C:\RECYCLER\S-1-5-21-8749679017-0950430147-468708784-3200\Desktop.ini Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • [.ShellClassInfo]
     CLSID={645FF040-5081-101B-9F08-00AA002F954E}

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft Help and Support"="C:\RECYCLER\S-1-5-21-8749679017-0950430147-468708784-3200\hlpsvc.exe"

 Backdoor (Puerta trasera) Servidor contactado:
Las siguientes:
   • 0xdeadbeef.cn:37454
   • hitmen.it:37454
   • not.malware.lv:37454

De esta forma obtiene el control remoto.

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • explorer.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Irina Diaconescu el lunes, 2 de marzo de 2009
Descripción actualizada por Irina Diaconescu el lunes, 2 de marzo de 2009

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.