¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Drop.Agent.uws
Descubierto:26/02/2009
Tipo:Troyano
Subtipo:Dropper
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:104.459 Bytes
Suma de control MD5:c86abd1d526e6eb03f27a7cc4b397d4e
Versin del IVDF:7.01.02.84 - jueves 26 de febrero de 2009

 General Mtodo de propagacin:
Autorun feature (es)


Alias:
   •  Mcafee: Generic PWS.ak trojan
   •  Sophos: Troj/PWS-AYM
   •  Panda: W32/Lineage.KOS
   •  Eset: Win32/PSW.OnLineGames.NMY
   •  Bitdefender: Trojan.PWS.OnLineGames.KCNF


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dainos
   • Suelta ficheros dainos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • \tvlx2fg.exe



Crea los siguientes ficheros:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%SYSDIR%\optyhww0.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/PSW.OnLineGa.wnx

%SYSDIR%\urretnd.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Drop.Agent.ahdz

%TEMPDIR%\ker1.tmp Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Drop.OnLi.123904

\d1vmq.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Drop.Agent.ahdz

%SYSDIR%\optyhww1.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Crypt.XPACK.Gen




Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://vfgtyp.com/fm4/**********
Los anlisis adicionales indicaron que este fichero es tambin viral.

La direccin es la siguiente:
   • http://vbfdt.com/fm4/**********
Los anlisis adicionales indicaron que este fichero es tambin viral.

 Registro Aade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "cbvcs"="%SYSDIR%\urretnd.exe"



Aade la siguiente clave al registro:

[HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="afvbgy.m"



Modifica las siguientes claves del registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Connections]
   Nuevo valor:
   • "DefaultConnectionSettings"=hex:46,00,00,00,05,00,00,00,09,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,04,00,00,00,00,00,00,00,70,89,60,1E,B4,66,CA,01,00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,02,00,00,00,C0,A8,6B,64,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
   Nuevo valor:
   • "Hidden"=dword:0x00000002
   • "ShowSuperHidden"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
   Folder\Hidden\SHOWALL]
   Nuevo valor:
   • "CheckedValue"=dword:0x00000000

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el lunes 16 de noviembre de 2009
Descripción actualizada por Andrei Ivanes el lunes 23 de noviembre de 2009

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.