¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Drop.Agent.ahvf
Descubierto:25/02/2009
Tipo:Troyano
Subtipo:Dropper
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:538.624 Bytes
Suma de control MD5:b0bb51b66a38aa80dc26e514fab25feb
Versión del IVDF:7.01.02.78 - miércoles, 25 de febrero de 2009

 General Alias:
   •  Mcafee: W32/Spybot.worm.gen virus
   •  Sophos: Mal/Generic-A
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/Boberog.K
   •  Bitdefender: Trojan.Generic.1448179


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\wmisys.exe



Sobrescribe los siguientes ficheros.
%WINDIR%\inf\1394.PNF
%WINDIR%\inf\1394vdbg.PNF



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– C:\netsf_m.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%WINDIR%\inf\netsf_m.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%WINDIR%\inf\netsf.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

– C:\netsf.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%SYSDIR%\drivers\ndisvvan.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dropper.Gen

– C:\msrwt.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Crypt.PEPM.Gen

– C:\Documents and Settings\LocalService\onk.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Crypt.PEPM.Gen

%SYSDIR%\drivers\sysdrv32.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Hacktool.Tcpz.A




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://195.149.74.40/css/**********
Los análisis adicionales indicaron que este fichero es también viral.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\WMISYS]
   • "Description"="Spools WMI applications."
   • "DisplayName"="WMI System App"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmisys.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Modifica la siguiente clave del registro:

– [HKLM\SYSTEM\CurrentControlSet\Control]
   Nuevo valor:
   • "WaitToKillServiceTimeout"="7000"

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el lunes, 16 de noviembre de 2009
Descripción actualizada por Andrei Ivanes el lunes, 23 de noviembre de 2009

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.