¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/PSW.ZGQ.8
Descubierto:07/01/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:61.952 Bytes
Suma de control MD5:823fc556696c639314459a2022abfd99
Versin del IVDF:7.10.02.127 - miércoles 6 de enero de 2010

 General Alias:
   •  Panda: W32/IRCbot.CWO
   •  Eset: Win32/IRCBot.NBC
   •  Bitdefender: Backdoor.IRCBot.ACZC


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Suelta ficheros dainos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %SYSDIR%\alrsvcf.exe
   • %SYSDIR%\asctrlsf.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %SYSDIR%\activedsk.exe



Crea los siguientes ficheros:

%SYSDIR%\3076z.exe
%SYSDIR%\2648628310.dat
%SYSDIR%\activedsk.exe



Intenta descargar un fichero:

La direccin es la siguiente:
   • http://nolohing.net/v44/**********




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\3076z.exe;%nmero%;%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%


Ejecuta uno de los ficheros siguientes:
   • svchost.exe "%SYSDIR%\3076z.exe"

 Registro Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\WmiSSDPSRV]
   • "DisplayName"="Windows Management Instrumentation Driver Extensions WmiSSDPSRV"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SYSDIR%\3076z.exe srv"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Modifica las siguientes claves del registro:

[HKLM\SECURITY\Policy\Secrets\SAC\CupdTime]
   Nuevo valor:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\CupdTime]
   Nuevo valor:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\OldVal]
   Nuevo valor:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\OupdTime]
   Nuevo valor:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\CurrVal]
   Nuevo valor:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\CurrVal]
   Nuevo valor:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAI\OldVal]
   Nuevo valor:
   • "@"=""

[HKLM\SECURITY\Policy\Secrets\SAC\OupdTime]
   Nuevo valor:
   • "@"=""

 Backdoor (Puerta trasera) Abre el siguiente puerto:

M-SEARCH * HTTP/1.1 239.255.255.250 MAN: "ssdp:discover" en el puerto UDP 1900

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el martes 25 de mayo de 2010
Descripción actualizada por Petre Galan el martes 25 de mayo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.