Nombre:TR/Dldr.FraudLoad.51200
Descubierto:16/09/2009
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Medio-alto
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:51.200 Bytes
Suma de control MD5:2277c47fd42f0D448dab0C97493e6acc
Versión del VDF:7.01.05.247
Versión del IVDF:7.01.05.249 - miércoles 16 de septiembre de 2009

 General Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro




   Elevates itself with SeShutdownPrivilege in order to restart the system.

 Ficheros Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%SYSDIR%\braviax.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Renos.56

%SYSDIR%\dllcache\figaro.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Rootkit.Gen

%SYSDIR%\dllcache\beep.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Rootkit.Gen

%SYSDIR%\drivers\beep.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Rootkit.Gen




Intenta descargar un fichero:

– Las direcciones son las siguientes:
   • http://gumertagionader.com/nLp1wa/0t5CVd8hD0u/**********
   • http://celiminerkariota.com/R1J0x5lf8gpn**********
   • http://uplaserdunavats.com/IgJ1JR0JU5a**********
   • http://opolertionfer.com/G1Ce0YTH5**********
   • http://nuherfodaverta.com/Ral1h0T5**********
   • http://polanermogalios.com/Iq1o0p5**********
   • http://vuilertumegated.com/gPq1oKN0**********
   • http://buteratorionasd.com/AYQ1c0sF5n**********
   • http://nulerotkabelast.com/wBd1Tm0L5k**********
Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.FraudLoad.fnm

 Registro Añade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "braviax"="%SYSDIR%\braviax.exe"



Elimina del registro de Windows el valor de la siguiente clave:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • risky



Modifica las siguientes claves del registro:

Reduce las opciones de seguridad de Internet Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
   Associations]
   Nuevo valor:
   • "LowRiskFileTypes"="zip;.rar;.cab;.txt;.exe;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mov;.mp3;.wav"
   • "SaveZoneInformation"=dword:00000001

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • Mystic Compressor

Descripción insertada por Petre Galan el miércoles 16 de septiembre de 2009
Descripción actualizada por Petre Galan el miércoles 16 de septiembre de 2009

Volver . . . .