¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Fakealert.C.17
Descubierto:15/10/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:171.024 Bytes
Suma de control MD5:d6084176f7ef6ff28c544e7a9f8adb94
Versión del IVDF:7.01.06.114 - jueves, 15 de octubre de 2009

 General Alias:
   •  Mcafee: W32/Autorun.worm
   •  Panda: W32/Autorun.JPK
   •  Eset: Win32/AutoRun.Agent.TK
   •  Bitdefender: Worm.Generic.95428


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %SYSDIR%\RCX3.tmp



Crea los siguientes ficheros:

%SYSDIR%\abfdcfedc.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Agent.wif.9

%TEMPDIR%\3fafa40407f9b420eaff07c821171795.exe



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://wl.ddkrss.com/v308/**********?msg=Z6LsdX5H8Xy4qJ4RzAWD1XKcLXF5KD1TcGyz%2BNYlo5rl4JI8qF41GsB84SqyUSOukXM87NAFGaZXa#EAC%2BcYT01HmEUrNgHLK9qx9n5r7HxGnGYDS2pzvMb9p3cv47eX
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Blud"="%character string%"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
   abfdcfedc]
   • "Asynchronous"=dword:0x00000001
   • "DllName"="%SYSDIR%\abfdcfedc.dll"
   • "Impersonate"=dword:0x00000000
   • "Lock"="lk"
   • "Logoff"="lk"
   • "Logon"="lk"
   • "Shutdown"="lk"
   • "StartScreenSaver"="lk"
   • "StartShell"="g"
   • "Startup"="lk"
   • "StopScreenSaver"="lk"
   • "Unlock"="lk"

 Inyectar el código viral en otros procesos – Se inyecta a sí mismo como hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • winlogon.exe


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes, 5 de marzo de 2010
Descripción actualizada por Petre Galan el viernes, 5 de marzo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.