Nombre:TR/Hamweq.A
Descubierto:15/10/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Fichero estático:
Tamaño:65.536 Bytes
Suma de control MD5:0a55c1a79534b88592487c92c54f5b69
Versión del IVDF:7.01.06.111 - jueves 15 de octubre de 2009

 General Alias:
   •  Sophos: Mal/Delf-Z
   •  Panda: W32/IRCBot.CKA.worm
   •  Eset: Win32/IRCBot.ANC
   •  Bitdefender: Backdoor.Bot.91975


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro




   Continuously creates a child process of itself and exits the parent process, within an interval of 1 sec, making difficult to locate and terminate from task manager.

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\svhost.exe

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\MSNETDED]
   • "Description"=" intrusion detection."
   • "DisplayName"="Network Monitor service"
   • "ErrorControl"=dword:0x00000000
   • "FailureActions"=hex:0A,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,00,00,00,00,01,00,00,00,B8,0B,00,00
   • "ImagePath"=""%SYSDIR%\svhost.exe""
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSNETDED]
   • "@"="Service"

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSNETDED]
   • "@"="Service"

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.

Descripción insertada por Petre Galan el lunes 23 de noviembre de 2009
Descripción actualizada por Petre Galan el lunes 23 de noviembre de 2009

Volver . . . .