¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Scar.aywk
Descubierto:20/12/2009
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:66.560 Bytes
Suma de control MD5:13de040017144a6276172d08bfd1e7f4
Versión del IVDF:7.10.02.23 - domingo, 20 de diciembre de 2009

 General Método de propagación:
   • Autorun feature (es)


Alias:
   •  Mcafee: W32/Slenping
   •  Panda: W32/OscarBot.XY
   •  Eset: Win32/AutoRun.IRCBot.CX
   •  Bitdefender: Worm.Pushbot.G


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %HOME%\Application Data\afd.exe
   • \Folder\SubFolder\file.exe



Crea los siguientes ficheros:

\Folder\SubFolder\Desktop.ini
\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   •

 Registro Añade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\
   Install\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Cftmon32"="%HOME%\Application Data\afd.exe"



Modifica la siguiente clave del registro:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   Nuevo valor:
   • "%ficheros ejecutados%"="%ficheros ejecutados%:*:Enabled:Cftmon32"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: one.af**********.com
Puerto: 22
Canal: #!stdin
Apodo: [USA|00|P|%número%]

 Backdoor (Puerta trasera) Abre el siguiente puerto:

– freebieslounge.com en el puerto UDP 44500

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el martes, 16 de marzo de 2010
Descripción actualizada por Petre Galan el martes, 16 de marzo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.