¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/A.108544
Descubierto:27/04/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio
Potencial daino:Medio
Fichero esttico:S
Tamao:108.544 Bytes
Suma de control MD5:0227e05f0183120ac3e5b8df4086961f
Versin del IVDF:7.10.06.222 - martes 27 de abril de 2010

 General Mtodos de propagacin:
    Funcin de autoejecucin
   • Correo electrnico


Alias:
   •  Sophos: Troj/DelfInj-Q
   •  Bitdefender: Trojan.Generic.3822680
   •  Panda: W32/Pinit.J.worm
   •  Eset: Win32/Peerfrag.FD


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Descarga ficheros dainos
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %papelera de reciclaje%\%CLSID%\mgrls32.exe



Elimina los siguientes ficheros:
   • %TEMPDIR%\husu.exe
   • %SYSDIR%\DRIVERS\SET5.tmp
   • %TEMPDIR%\587.exe
   • %TEMPDIR%\bohvby.exe
   • %SYSDIR%\drivers\aec.sys
   • %SYSDIR%\drivers\aec.sys.bak
   • %TEMPDIR%\joujbvje.exe
   • %TEMPDIR%\hqgqrnbdunn.bat



Crea los siguientes ficheros:

%papelera de reciclaje%\%CLSID%\Desktop.ini
%HOME%\ndisrd_m.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

%HOME%\ndisrd.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

%temporary internet files%\fjnvpk[1].htm Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Dropper.Gen

%TEMPDIR%\wsqptq.exe
%SYSDIR%\DRIVERS\SET5.tmp
%SYSDIR%\DRIVERS\ndisrd.sys
%temporary internet files%\fwevpovto[1].htm Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Spy.Gen

%HOME%\snetcfg.exe
%disquetera%\lsass.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Spy.Gen

%HOME%\Application Data\Microsoft\Crypto\RSA\%CLSID%\a18ca4003deb042bbee7a40f15e1970b_1c1a3893-4672-472f-afbd-f2c903f9947c
%HOME%\ndisrd.sys
%TEMPDIR%\184.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Rimecud.N.3

%TEMPDIR%\jfrevf.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/ATRAPS.Gen

%TEMPDIR%\mcillbuu.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Dropper.Gen

%temporary internet files%\oriqbjdp[1].htm Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/ATRAPS.Gen

%TEMPDIR%\awkvrft.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Dropper.Gen

%TEMPDIR%\bohvby.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Crypt.ZPACK.Gen

%SYSDIR%\regedit.exe
%TEMPDIR%\husu.exe
%TEMPDIR%\nrktcvy.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Spy.Gen

%SYSDIR%\drivers\aec.sys
%HOME%\drvsign.exe
%TEMPDIR%\hqgqrnbdunn.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%TEMPDIR%\587.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Agent.AO.1250

%temporary internet files%\rvqxfn[1].htm
%temporary internet files%\imwaic[1].htm Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Dropper.Gen

%TEMPDIR%\joujbvje.exe
%temporary internet files%\fwelcx[1].htm
%SYSDIR%\drivers\zibmaunkvy9.sys Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: RKit/Tent.aui

%TEMPDIR%\a82d79a1.tmp
%temporary internet files%\loaderadv600[1].exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Agent.AO.1250

%temporary internet files%\hypwhc[1].htm
%papelera de reciclaje%\%CLSID%\vsbntlo.exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Rimecud.N.3

%temporary internet files%\yptozgozmu[1].htm Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Crypt.ZPACK.Gen

%temporary internet files%\pr3xyy[1].exe Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: Worm/Rimecud.N.3

%SYSDIR%\drivers\aec.sys.bak



Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://81.214.13**********.58/?7c222e27396f222c272a2e396a22282c2e3969222c2e2b28397d222f397b222e396c222e2f29262f272f397a225c25434b7a726f43716d746b7c6966317a677a3978227671766b1f


La direccin es la siguiente:
   • http://115.85.23**********.119/?560805134508060d00041340080206041343080604010213570805135108041346080405030c050d05135008760f6961505845695b475e4156434c1b504d501352085c5b5c4135


La direccin es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


Las direcciones son las siguientes:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%
   • http://bedayton.com/ufwnltbz/**********?adv=%cadena de caracteres%


La direccin es la siguiente:
   • http://go-thailand-now.com/**********?user=%cadena de caracteres%


Las direcciones son las siguientes:
   • http://89.214.**********.17/?7e20283b6d202e25282c3b68202a2e2c3b6b202e2c292a3b7f202d3b79202c3b6e202c2d2b242d252d3b78205e27414978706d41736f76697e6b64337865783b7a20747374691d
   • http://62.149.**********.17/?9bc5c9cfde88c5cbc0cdc9de8dc5cfcbc9de8ec5cbc9cccfde9ac5c8de9cc5c9de8bc5c9c8cec1c8c0c8de9dc5bbc2a4ac9d9588a4968a938c9b8e81d69d809dde9fc59196918cf8


La direccin es la siguiente:
   • http://go-thailand-now.com/**********?mode=%cadena de caracteres%&f=%nmero%


La direccin es la siguiente:
   • http://go-thailand-now.com/**********?file=%cadena de caracteres%


La direccin es la siguiente:
   • http://aebankonline.com/yulgbvqk/**********?id=%cadena de caracteres%&p=%nmero%


La direccin es la siguiente:
   • http://go-thailand-now.com/**********?num=%nmero%


Las direcciones son las siguientes:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%
   • http://bedayton.com/ufwnltbz/**********?adv=%cadena de caracteres%


La direccin es la siguiente:
   • http://89.146.16**********.198/?c49a969581d79a949f929681d29a90949681d19a9496939081c59a9781c39a9681d49a9697919e979f9781c29ae49dfbf3c2cad7fbc9d5ccd3c4d1de89c2dfc281c09acec9ced3a7


La direccin es la siguiente:
   • http://89.146.13**********.94/?c59b979580d69b959e939780d39b91959780d09b9597929180c49b9680c29b9780d59b9796909f969e9680c39be59cfaf2c3cbd6fac8d4cdd2c5d0df88c3dec380c19bcfc8cfd2a6


La direccin es la siguiente:
   • http://196.217.**********.104/?adf3fffae8bef3fdf6fbffe8bbf3f9fdffe8b8f3fdfffaf9e8acf3fee8aaf3ffe8bdf3fffef8f7fef6fee8abf38df4929aaba3be92a0bca5baadb8b7e0abb6abe8a9f3a7a0a7bace


La direccin es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


Las direcciones son las siguientes:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%
   • http://bedayton.com/ufwnltbz/**********?adv=%cadena de caracteres%


La direccin es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


La direccin es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


Las direcciones son las siguientes:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%
   • http://bedayton.com/ufwnltbz/**********?adv=%cadena de caracteres%


La direccin es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


Las direcciones son las siguientes:
   • http://208.110.82.186/**********
   • http://96.0.203.114/**********


La direccin es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


La direccin es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


Las direcciones son las siguientes:
   • http://go-thailand-now.com/**********?876377c509c3a3f1b59f91d4c2f18b0e
   • http://go-thailand-now.com/**********?a2c44929ca4ccf3fda5849fe6a74f9a7


La direccin es la siguiente:
   • http://208.53.183.4/**********


La direccin es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


La direccin es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%&code1=%cadena de caracteres%&code2=%nmero%&id=%cadena de caracteres%&p=%nmero%


La direccin es la siguiente:
   • http://go-thailand-now.com/**********?sub=%cadena de caracteres%&fid=%nmero%


La direccin es la siguiente:
   • http://go-thailand-now.com/**********?sessid=%cadena de caracteres%


La direccin es la siguiente:
   • http://!/**********?t=%nmero%&a&id=%cadena de caracteres%


La direccin es la siguiente:
   • http://bedayton.com/**********




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\587.exe


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\jfrevf.exe


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\awkvrft.exe


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\wsqptq.exe


Ejecuta uno de los ficheros siguientes:
   • "drvsign.exe"


Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\cmd.exe" /c del %TEMPDIR%\587.exe > nul


Ejecuta uno de los ficheros siguientes:
   • "snetcfg.exe" -v -l ndisrd.inf -m ndisrd_m.inf -c s -i nt_ndisrd


Ejecuta uno de los ficheros siguientes:
   • runonce -r


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\184.exe


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\husu.exe


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\joujbvje.exe


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\nrktcvy.exe


Ejecuta uno de los ficheros siguientes:
   • c:\lsass.exe exe %TEMPDIR%\nrktcvy.exe


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\mcillbuu.exe


Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\cmd.exe" /c del %TEMPDIR%\husu.exe > nul


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\bohvby.exe


Ejecuta uno de los ficheros siguientes:
   • cmd /c %TEMPDIR%\hqgqrnbdunn.bat

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:



Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

[HKLM\System\CurrentControlSet\Services\ndisrd]
   • "DisplayName"="WinpkFilter Service"
   • "ErrorControl"=dword:0x00000001
   • "Group"="PNP_TDI"
   • "ImagePath"="system32\DRIVERS\ndisrd.sys"
   • "Start"=dword:0x00000003
   • "Tag"=dword:0x00000009
   • "Type"=dword:0x00000001



Elimina del registro de Windows el valor de la siguiente clave:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • internat.exe



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:0x00000000



Aade las siguientes claves al registro:

[HKLM\SYSTEM\CurrentControlSet\Control\Network\NetCfgLockHolder]
   • "@"="Sample Netcfg Application (netcfg.exe)"

[HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Parameters]
   • "Param1"="4"

[HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Ndi]
   • "FilterClass"="failover"
   • "FilterDeviceInfId"="nt_ndisrdmp"
   • "HelpText"="WinpkFilter Driver"
   • "Service"="Ndisrd"

[HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Ndi\Interfaces]
   • "FilterMediaTypes"="ethernet, wan"
   • "LowerRange"="nolower"
   • "UpperRange"="noupper"

[HKLM\SYSTEM\CurrentControlSet\Control\Class\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\0010]
   • "Characteristics"=dword:0x00000029
   • "ComponentId"="nt_ndisrdmp"
   • "DriverDate"="10-20-2005"
   • "DriverDateData"="%valores hex%"
   • "DriverDesc"="WinpkFilter Miniport"
   • "DriverVersion"="3.0.0.1"
   • "FilterInfId"="nt_ndisrd"
   • "InfPath"="oem15.inf"
   • "InfSection"="NdisrdMP.ndi"
   • "MatchingDeviceId"="nt_ndisrdmp"
   • "NetCfgInstanceId"="{3176222F-F7CE-4460-BF0E-40F4C354CAD0}"
   • "ProviderName"="NTKR"

[HKCU\Software\Microsoft\Internet Explorer\Main]
   • "DHCP"="1069080"
   • "DNS"="AF6A3860,70CA3F13,1BF8782F,1BFF0A84,59B04312,D935A410,75C51962,75FEE8C0,7448CC6D,73F26375,1BF82AA1,76A1C295,744A298D,4F77A590,779A3332,73F1CC48,71203C96,D935A439,71C192E5,51541DED,53D80338,75FE0DD7,BDC26A29,7D636C89,75FEE135,77987384,BEAE0F53,75C2037C,3B5EED10,75FE7F74,75C32849,57442D77,598939D3,75C91217,70C5A4B6,70C52A68,6F5C886F,75C7B4BA,597B25C0,71C18E2C,73F208AF,779A8244,75C5B277,7A8A11A8,79F52698,B603C830,5EB7431A,59259351,75C59098,75C84704,77985045,75C003AA,29D6DE85,7C7880E9,779A79F1,70C9B1A6,75CC4477,BC191310,744A6621,BEF14F44,592E4343,5744F4D8,73BA06B0,70CB8C08,5B8998FB,779A827E,79F55472,7C7D5229,BD30D14B,75C541DB,75C7E1EF,74620477,B7574547,4E274B08,7375A14C,4E274B86,3BA17F28,779A7392,7375A6CC,75C6E399,3D02C121,7978AE86,D4105AEC,79180F5A,75C5906E,4D4E1302,70C8DFB3,73F09F78,3B676444,7375F50D,B6022311,73F0DB2F,BDDD995A,CA08EE7B,7C7B9672,75CF3606,70CACC5A,567E457D,70CB83E3,70C5DD42,3D01F761,5D9C625B,5429313A,BA5907D9,B630FEBC,592DDAF3,70C5077B,7BED2C4E,B6000BBE,CBC0E6A8,BB222A98,4E2724C8,737F08F3,CBC186DB,75C404EA,3BA1338B,546DC46E,77A64585,75C69E0F,BB037BF5,75CD11D3,70CA6B11,779A7141,7357A43A,6F5C8DB2,7CFDA5A1,BC1A1A3A,73F1CB4F,6DBA748E,70C9A8E5,D5A10549,70C5BC7F,70C5764A,B6042CA1,5EBDB005,59853196,3BA138F0,788A7EE4,779A3121,71FCF5B3,C4CE501C,73FC209B,73FC269D,29F83B00,70C5860C,75CE3313,765E52DC,73F0CF56,714C5E12,4DED43DB,762F6F3A,4FA36A09,70C5852A,73BA7306,5B89982B,79F56421,70CB9E79,73B89CE7,B45C9C2E,74620609,BB5A999E,599BC728,BB0F13A5,75C63246,7375CDCD,CA803015,70CD189F,576DE7DE,CA83A4BB,79E37365,3B59342C,3E8BDACB,75C4E570,779A778C,5C24DBD9,5DB189D7,29F92E6E,C9516F26,75C807AF,75CD61AA,75C7C420,C8140BC6,29D98B11,75FE0818,54FDCEAF,779A7F92,70C818E4,558255FB,C4CE681F,779A32C6,724FA678,5B490D6B,75C948EF,7BED442D,BA511B3D,73F1A5C1,75CF2545,CB7357E2,75C30E54,4F75A47A,7C7B7B41,5290BC31,4E3AA622,73B8DBDF,75F15882,4E274B0E,BA0E4535,6EE27356,7448D173,73F18EDE,59B8D9C0,7798FCB6,70CAA0E3,75C94AB0,B69C9F46,295C210D,79F536A6,74EE4131,779A24F6,71C1DADC,73FC2B41,779A74FE,3BA1390C,5EB7F4DB,79F56C7F,CBD727CF,3B5FD208,CEF840E1,4E274B3C,C4CE5957,7000F18B,50DDF9D1,5E345528,5744A38F,7449291C,79F51991,5D67AFC5,B75745F1,C85F9A7F,5B93DDC7,55CA2942,29CFDA4B,BCAD4294,4D4EF4AB,70C9A366,C4DA5732,BDC11407,C4CE56D6,5F6C0A6D,71C14A90,7C8234A4,C86D3D8C,70CE4E2C,BC1946F2,59D46501,7BEE798A,29FB8E36,5EB74357,BE496A74,5057F060,BE8E0D70,7C7B8FBF,3E8BDABE,C4D92A2A,7BEE7A3D,779A0CB4,70C5C2C7,6F5C8CBA,C9FE2C2F,3D01128A,C4D9D4A4,BE9E5CE3,73B8F15C,71C1E6D0,779A46EA,75C83B68,71C14E28,70C573C0,5928C587,CAA02E7A,75C7B3D7,5B539969,75FEA3C4,75621260,7BED1BDA,3B5E2DA1,7113210F,75FE6C09,3B5F64B5,5D674B2D,73F22E63,70CE0C55,75C95D7F,75CD221F,7A23564C,BE619917,7C7B0898,4F72794D,C89FC45B,75C51827,70CE55A0,7961A29A,70C525B7,3B6089DE,75C8C155,73A45184,73A4DBAF,79F58C00,BC81E8C7,3B5F0999"

[HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
   • "WinpkFilter Miniport"="1"

[HKLM\SYSTEM\CurrentControlSet\Control\Class\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\0011]
   • "Characteristics"=dword:0x00000029
   • "ComponentId"="nt_ndisrdmp"
   • "DriverDate"="10-20-2005"
   • "DriverDateData"="%valores hex%"
   • "DriverDesc"="WinpkFilter Miniport"
   • "DriverVersion"="3.0.0.1"
   • "FilterInfId"="nt_ndisrd"
   • "InfPath"="oem15.inf"
   • "InfSection"="NdisrdMP.ndi"
   • "MatchingDeviceId"="nt_ndisrdmp"
   • "NetCfgInstanceId"="{43179874-A743-444B-9A07-D10E4D8F4308}"
   • "ProviderName"="NTKR"



Modifica las siguientes claves del registro:

[HKLM\SOFTWARE\Microsoft\Driver Signing]
   Nuevo valor:
   • "Policy"=hex:0

[HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Nuevo valor:
   • "MaxUserPort"=dword:0x0000fffe

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
   Nuevo valor:
   • "PrivateHash"="%valores hex%"

 Correo electrnico Incluye un motor SMTP integrado para enviar mensajes. Establecer una conexin con el servidor de destinacin. Las caractersticas se describen a continuacin:


De:
La direccin del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros especficos del sistema.


Asunto:
El siguiente:
   • Lonely Wives Looking For Hookup



El cuerpo del mensaje:
– Contiene cdigo HTML.


Archivo adjunto:

El archivo adjunto es una copia del propio programa malicioso.

 Backdoor (Puerta trasera) Abre los siguientes puertos:

89.149.2**********.140 en el puerto UDP 8811
89.149.2**********.222 en el puerto TCP 65534

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el lunes 12 de julio de 2010
Descripción actualizada por Petre Galan el martes 20 de julio de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.