¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Drop.Agent.agla
Descubierto:26/02/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Alto
Fichero estático:
Tamaño:172.207 Bytes
Suma de control MD5:d6614007059d24844269db6ef460e4d9
Versión del IVDF:7.01.01.239 - viernes, 6 de febrero de 2009

 General Alias:
   •  Symantec: W32.SillyFDC
   •  Sophos: Mal/Generic-A
   •  Panda: W32/Lineage.KYR
   •  Eset: Win32/PSW.OnLineGames.NNU


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\kva8wr.exe
   • \jbele1.com



Renombra los siguientes ficheros:

    •  %directorio donde se ejecuta el programa viral% en c:\%archivo o directorio existente%.vcd



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %SYSDIR%\drivers\cdaudio.sys



Puede corromper el siguiente fichero:
   • %SYSDIR%\drivers\cdaudio.sys



Crea los siguientes ficheros:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%SYSDIR%\drivers\klif.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Rkit/Agent.4160

%SYSDIR%\bgotrtu0.dll Detectado como: TR/Vundo

%SYSDIR%\uweyiwe0.dll Detectado como: TR/Crypt.XPACK.Gen

\lot.exe
%SYSDIR%\ahnfgss0.dll
%SYSDIR%\ahnsbsb.exe
%SYSDIR%\ahnxsds0.dll



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://hjkio.com/xhg2/**********


– La dirección es la siguiente:
   • http://kioytrfd.com/xhg2/**********

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "kvasoft"="%SYSDIR%\kva8wr.exe"



Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SOFTWARE\System\CurrentControlSet\Services\KAVsys]
   • "Type"=dword:00000001
      "Start"=dword:00000001
      "ErrorControl"=dword:00000001
      "ImagePath"="\??\%SYSDIR%\drivers\klif.sys"
      "DisplayName"="KAVsys"



Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
   Nuevo valor:
   • "NoDriveTypeAutoRun"=dword:00000091

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "ShowSuperHidden"=dword:00000001
     "Hidden"=dword:00000002

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\uweyiwe0.dll


– Inyecta en otro proceso una rutina de monitorización de procesos.

    Nombre del proceso:
   • explorer.exe


 Tecnología Rootkit Oculta las siguientes:
– Su propio proceso


Método empleado:
    • Oculto en Master File Table (MFT)
    • Oculto en Windows API
    • Hidden from Interrupt Descriptor Table (IDT) (es)

Descripción insertada por Petre Galan el lunes, 6 de julio de 2009
Descripción actualizada por Petre Galan el martes, 18 de agosto de 2009

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.