Descripción completa

Nombre:	TR/Agent.56320.16
Descubierto:	13/10/2009
Tipo:	Troyano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	56.320 Bytes
Suma de control MD5:	66dc85ad06e4595588395b2300762660
Versión del IVDF:	7.01.06.106 - martes 13 de octubre de 2009

General Alias:
   • Mcafee: W32/Koobface.worm.gen.o
   • Panda: W32/Koobface.GN.worm
   • Eset: Win32/Koobface.NCF
   • Bitdefender: Trojan.Generic.IS.615453

Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\freddy69.exe

Elimina la copia inicial del virus.

Elimina los siguientes ficheros:
   • %directorio donde se ejecuta el programa viral%\sd.dat
   • %WINDIR%\dxxdv34567.bat
   • %directorio donde se ejecuta el programa viral%\df1a245s4_1000.exe
   • C:\3.reg

Crea los siguientes ficheros:

– %WINDIR%\bk23567.dat
– %WINDIR%\freddy101.exe Los análisis adicionales indicaron que este fichero es también viral.
– %WINDIR%\dxxdv34567.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
– %HOME%\Local Settings\Temporary Internet Files\Content.IE5\CXA7GX23\fb[1].101.exe Los análisis adicionales indicaron que este fichero es también viral.

Intenta descargar algunos ficheros:

– Las direcciones son las siguientes:
   • http://www.bloomfieldlivestockmarket.com/**********/?action=fbgen&v=69
   • http://iq-tech.biz/**********/?action=fbgen&mode=s&age=32&a=544453496&v=101&crc=669&ie=6.0.2800.1106
   • http://doratheexplorertoys.info/**********/?action=fbgen&v=101&crc=669
   • http://www.getconnected.be/**********/?action=fbgen&v=69
   • http://krukvaxter.tazzeli.se/**********/?action=fbgen&v=69
   • http://www.agapebowling.com/**********/?action=fbgen&v=101&crc=669
   • http://www.oneofakindsxm.com/**********/?getexe=fb.101.exe
   • http://rtrans.spb.ru/**********/?action=fbgen&v=69
   • http://genesiskdmparts.com/**********/?action=fbgen&v=69
   • http://iq-tech.biz/**********/?action=fbgen&v=101&crc=669
   • http://firmafrugtforeningen.dk/**********/?action=fbgen&v=101&crc=669
   • http://hadsund-jagt.dk/**********/?action=fbgen&v=101&crc=669
   • http://qatar-business-guide.net/**********/?action=fbgen&a=544453496&v=69&ie=6.0.2800.1106
   • http://www.svensmits.be/**********/?action=fbgen&v=69
   • http://qatar-business-guide.net/**********/?action=fbgen&v=69
Los análisis adicionales indicaron que este fichero es también viral.

Registro Elimina del registro de Windows los valores de la siguiente clave:

– [HKEY_USERS\S-1-5-21-2025429265-1425521274-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Internet Settings]
   • AutoConfigURL
   • ProxyOverride
   • ProxyServer

Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Classes\MIME\Database\Content Type\
   application/xhtml+xml]
   • "CLSID"="{25336920-03F9-11cf-8FD0-00AA00686F13}"
   • "Encoding"=hex:08,00,00,00
   • "Extension"=".xml"

Modifica las siguientes claves del registro:

– [HKEY_USERS\S-1-5-21-2025429265-1425521274-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "MigrateProxy"=dword:0x00000001
   • "ProxyEnable"=dword:0x00000000

– [HKLM\SYSTEM\ControlSet001\Hardware Profiles\0001\Software\
   Microsoft\windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "ProxyEnable"=dword:0x00000000

Inyectar el código viral en otros procesos – Se inyecta a sí mismo como hilo de ejecución remoto en un proceso.

Nombre del proceso:
• regedit.exe

Informaciones diversas Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://www.google.com

Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • http://messaging.myspace.com/index.cfm?fuseaction=mail.sentboxV3&type=Sent
   • http://profileedit.myspace.com/index.cfm?fuseaction=profile.blurbs
   • http://profileedit.myspace.com/index.cfm?fuseaction=profile.interests
   • http://profileedit.myspace.com/index.cfm?fuseaction=profile.lifestyle
   • http://profileedit.myspace.com/index.cfm?fuseaction=profile.schools
   • http://profileedit.myspace.com/index.cfm?fuseaction=profile.companies
   • http://profileedit.myspace.com/index.cfm?fuseaction=accountSettings.contactInfo
   • myspace.com/index.cfm?fuseaction=profile.basic
   • document.getElementById("hsmDoneBtn").fireEvent("onmousedown", evt);

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Petre Galan el martes 23 de febrero de 2010
Descripción actualizada por Petre Galan el martes 23 de febrero de 2010

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas