¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Drop.Agent.ahvf
Descubierto:25/02/2009
Tipo:Troyano
Subtipo:Dropper
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:538.624 Bytes
Suma de control MD5:b0bb51b66a38aa80dc26e514fab25feb
Versin del IVDF:7.01.02.78 - miércoles 25 de febrero de 2009

 General Alias:
   •  Mcafee: W32/Spybot.worm.gen virus
   •  Sophos: Mal/Generic-A
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/Boberog.K
   •  Bitdefender: Trojan.Generic.1448179


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\wmisys.exe



Sobrescribe los siguientes ficheros.
%WINDIR%\inf\1394.PNF
%WINDIR%\inf\1394vdbg.PNF



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

C:\netsf_m.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%WINDIR%\inf\netsf_m.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%WINDIR%\inf\netsf.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

C:\netsf.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

%SYSDIR%\drivers\ndisvvan.sys Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Dropper.Gen

C:\msrwt.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Crypt.PEPM.Gen

C:\Documents and Settings\LocalService\onk.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Crypt.PEPM.Gen

%SYSDIR%\drivers\sysdrv32.sys Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Hacktool.Tcpz.A




Intenta descargar un fichero:

La direccin es la siguiente:
   • http://195.149.74.40/css/**********
Los anlisis adicionales indicaron que este fichero es tambin viral.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\WMISYS]
   • "Description"="Spools WMI applications."
   • "DisplayName"="WMI System App"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\wmisys.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Modifica la siguiente clave del registro:

[HKLM\SYSTEM\CurrentControlSet\Control]
   Nuevo valor:
   • "WaitToKillServiceTimeout"="7000"

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el lunes 16 de noviembre de 2009
Descripción actualizada por Andrei Ivanes el lunes 23 de noviembre de 2009

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.