¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/PSW.ZGQ.8
Descubierto:07/01/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:61.952 Bytes
Suma de control MD5:823fc556696c639314459a2022abfd99
Versión del IVDF:7.10.02.127 - miércoles, 6 de enero de 2010

 General Alias:
   •  Panda: W32/IRCbot.CWO
   •  Eset: Win32/IRCBot.NBC
   •  Bitdefender: Backdoor.IRCBot.ACZC


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\alrsvcf.exe
   • %SYSDIR%\asctrlsf.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %SYSDIR%\activedsk.exe



Crea los siguientes ficheros:

%SYSDIR%\3076z.exe
%SYSDIR%\2648628310.dat
%SYSDIR%\activedsk.exe



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://nolohing.net/v44/**********




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\3076z.exe;%número%;%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%


– Ejecuta uno de los ficheros siguientes:
   • svchost.exe "%SYSDIR%\3076z.exe"

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\WmiSSDPSRV]
   • "DisplayName"="Windows Management Instrumentation Driver Extensions WmiSSDPSRV"
   • "ErrorControl"=dword:0x00000000
   • "ImagePath"="%SYSDIR%\3076z.exe srv"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000110



Modifica las siguientes claves del registro:

– [HKLM\SECURITY\Policy\Secrets\SAC\CupdTime]
   Nuevo valor:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAI\CupdTime]
   Nuevo valor:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAC\OldVal]
   Nuevo valor:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAI\OupdTime]
   Nuevo valor:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAI\CurrVal]
   Nuevo valor:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAC\CurrVal]
   Nuevo valor:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAI\OldVal]
   Nuevo valor:
   • "@"=""

– [HKLM\SECURITY\Policy\Secrets\SAC\OupdTime]
   Nuevo valor:
   • "@"=""

 Backdoor (Puerta trasera) Abre el siguiente puerto:

– M-SEARCH * HTTP/1.1 239.255.255.250 MAN: "ssdp:discover" en el puerto UDP 1900

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el martes, 25 de mayo de 2010
Descripción actualizada por Petre Galan el martes, 25 de mayo de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.