Nombre:TR/Vilsel.nvw
Descubierto:27/11/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:34.816 Bytes
Suma de control MD5:10a39c8fdb1d9fcfe463616396df0010
Versión del IVDF:7.10.01.112 - viernes 27 de noviembre de 2009

 General Método de propagación:
   • Autorun feature (es)


Alias:
   •  Sophos: Troj/Agent-LVZ
   •  Panda: W32/Autorun.JQE
   •  Eset: Win32/AutoRun.FakeAlert.DN
   •  Bitdefender: Trojan.Hiloti.AS


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %PROGRAM FILES%\Microsoft Common\svchost.exe
   • \system.exe



Crea el siguiente fichero:

\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •




Intenta descargar un fichero:

– Las direcciones son las siguientes:
   • http://hohiserdert.com/ld2/**********?v=1&rs=55274-641-2040627-231514230819808&n=1&uid=1
   • http://193.104.27.235/ld2/**********?v=1&rs=55274-641-2040627-231514230819808&n=1&uid=1
   • http://193.104.27.234/ld2/**********?v=1&rs=55274-641-2040627-231514230819808&n=1&uid=1
Los análisis adicionales indicaron que este fichero es también viral.

 Registro Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\explorer.exe]
   • "Debugger"="%PROGRAM FILES%\Microsoft Common\svchost.exe"

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes 12 de marzo de 2010
Descripción actualizada por Petre Galan el lunes 15 de marzo de 2010

Volver . . . .