Descripción completa

Nombre:	TR/Drop.Agent.avam
Descubierto:	26/10/2009
Tipo:	Troyano
Subtipo:	Dropper
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	745.472 Bytes
Suma de control MD5:	0C59eadc2628f66819ee0F76f5eeb910
Versión del IVDF:	7.01.04.220 - sábado 11 de julio de 2009

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Kaspersky: Trojan.Win32.Obfuscated.whl
   • Sophos: W32/IRCBot-ADJ
   • Panda: Bck/Mircbased.BT
   • Eset: IRC/Cloner.BX trojan
   • Bitdefender: Trojan.AgentMB.ITGL3168337

Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %PROGRAM FILES%\Microsoft Office\OFFICE11\ WINWORD.EXE
   • %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe
   • %Start Menu%\Programs\Startup\Adobe Gamma Loader.com

Crea la siguiente carpeta:
   • %PROGRAM FILES%\Microsoft Office\OFFICE11

Crea los siguientes ficheros:

– %PROGRAM FILES%\Microsoft Office\OFFICE11\Drvics32.dll Contiene parámetros empleados por el programa malicioso.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\hjwgsd.dll Contiene parámetros empleados por el programa malicioso.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\jwiegh.dll Contiene parámetros empleados por el programa malicioso.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\remote.ini Contiene parámetros empleados por el programa malicioso.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\ruimsbbe.dll Contiene parámetros empleados por el programa malicioso.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\control.ini Contiene parámetros empleados por el programa malicioso.
– %PROGRAM FILES%\Microsoft Office\OFFICE11\PUB60SP.mrc Los análisis adicionales indicaron que este fichero es también viral. Detectado como: WORM/IrcBot.7385.A

– %PROGRAM FILES%\Microsoft Office\OFFICE11\yofc.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: IRC/Zapchast.YF

– %PROGRAM FILES%\Microsoft Office\OFFICE11\smss.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.576628.2

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="Explorer.exe, %PROGRAM FILES%\Microsoft Office\OFFICE11\services.exe"

Elimina del registro de Windows los valores de la siguiente clave:

– [HKCU\Software\Microsoft\windows\CurrentVersion\Internet Settings]
   • "ProxyServer"
   • "ProxyOverride"
   • "AutoConfigURL"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
   %all registry keys%]
– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
   %all registry keys%]

Añade las siguientes claves al registro:

– [HKCR\exefile]
   • "NeverShowExt"=""

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\Acha.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\registry.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\AmyMastura.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\csrsz.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\SMSSS.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\lsasc.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\BabyRina.exe]
   • "Debugger"="cmd.exe /c del"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\wscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\cscript.exe]
   • "Debugger"="rundll32.exe"

– [HKLM\SOFTWARE\Microsoft\Security Center\Svc]
   • "AntiVirusDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "FirstRunDisabled"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:00000000

Modifica las siguientes claves del registro:

Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "ShowSuperHidden"="0x0"
   • "SuperHidden"="0x0"

Varias opciones de configuración en Explorer:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\SuperHidden]
   Nuevo valor:
   • "CheckedValue"=dword:00000000
   • "UncheckedValue"=dword:00000000
   • "DefaultValue"=dword:00000000

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Nuevo valor:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "FirstRunDisabled"=dword:00000001
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
   Nuevo valor:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess]
   Nuevo valor:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

– [HKLM\SYSTEM\CurrentControlSet\Services\WinDefend]
   Nuevo valor:
   • "Type"=dword:00000004
   • "Start"=dword:00000004

IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: irc.dal.net
Puerto: 6667
Apodo: Gold_girXls

Informaciones diversas Para buscar una conexión a Internet, contacta los siguientes sitios web:
   • www.tourism.gov.my
   • www.miti.gov.my
   • www.putera.com

Tecnología Rootkit Oculta las siguientes:
– Sus propios ficheros

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Descripción insertada por Raluca Georgescu el lunes 26 de octubre de 2009
Descripción actualizada por Andrei Ivanes el martes 27 de octubre de 2009

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas