Nombre:TR/FakeAV.LBQ
Descubierto:19/07/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:45.568 Bytes
Suma de control MD5:d7c2473852f25cc0a06094d9e9130Fac
Versión del IVDF:7.10.09.110 - lunes 19 de julio de 2010

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Backdoor.Win32.TDSS.ur
   •  F-Secure: Trojan.FakeAV.LBQ
   •  Sophos: Mal/TDSSPk-AD
   •  Bitdefender: Trojan.FakeAV.LBQ
   •  Microsoft: Trojan:Win32/Meredrop
   •  AVG: Agent2.AZMO
   •  VirusBuster: Trojan.Meredrop.ABKU
   •  Eset: Win32/Olmarik.ABS
   •  Sunbelt: Trojan.Win32.Meredrop
   •  GData: Trojan.FakeAV.LBQ
   •  AhnLab: Backdoor/Win32.TDSS
   •  DrWeb: Trojan.PWS.IpDiscover.17
   •  Ikarus: Trojan.Win32.Meredrop


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Redirige a un sitio Web infectado

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %APPDATA%\b3bfd04c.exe



Crea los siguientes ficheros:

%SYSDIR%\spool\prtprocs\w32x86\17wSKU.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/FakeAV.LBQ

%WINDIR%\Tasks\b3bfd04c.job
%SYSDIR%\ernel32.dll Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/FakeAV.LBQ

 Registro Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Valor anterior:
   • "UacDisableNotify"=dword:00000000
   Nuevo valor:
   • "UacDisableNotify"=dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Valor anterior:
   • "NameServer"="%dirección IP%"
   • "DhcpNameServer"="%dirección IP%"
   Nuevo valor:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\
   %CLSID%
   Valor anterior:
   • "NameServer"="%dirección IP%"
   • "DhcpNameServer"="%dirección IP%"
   Nuevo valor:
   • "NameServer"="93.188.163.235,93.188.166.215"
   • "DhcpNameServer"="93.188.163.235,93.188.166.215"

 Inyectar el código viral en otros procesos – Se inserta en los procesos.

    Los siguientes procesos:
   • spoolsv.exe
   • svchost.exe


Descripción insertada por Patrick Schoenherr el lunes 26 de julio de 2010
Descripción actualizada por Patrick Schoenherr el lunes 26 de julio de 2010

Volver . . . .