¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/A.108544
Descubierto:27/04/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:108.544 Bytes
Suma de control MD5:0227e05f0183120ac3e5b8df4086961f
Versión del IVDF:7.10.06.222 - martes, 27 de abril de 2010

 General Métodos de propagación:
   • Función de autoejecución
   • Correo electrónico


Alias:
   •  Sophos: Troj/DelfInj-Q
   •  Bitdefender: Trojan.Generic.3822680
   •  Panda: W32/Pinit.J.worm
   •  Eset: Win32/Peerfrag.FD


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %papelera de reciclaje%\%CLSID%\mgrls32.exe



Elimina los siguientes ficheros:
   • %TEMPDIR%\husu.exe
   • %SYSDIR%\DRIVERS\SET5.tmp
   • %TEMPDIR%\587.exe
   • %TEMPDIR%\bohvby.exe
   • %SYSDIR%\drivers\aec.sys
   • %SYSDIR%\drivers\aec.sys.bak
   • %TEMPDIR%\joujbvje.exe
   • %TEMPDIR%\hqgqrnbdunn.bat



Crea los siguientes ficheros:

%papelera de reciclaje%\%CLSID%\Desktop.ini
– %HOME%\ndisrd_m.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

– %HOME%\ndisrd.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%temporary internet files%\fjnvpk[1].htm Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dropper.Gen

%TEMPDIR%\wsqptq.exe
%SYSDIR%\DRIVERS\SET5.tmp
%SYSDIR%\DRIVERS\ndisrd.sys
%temporary internet files%\fwevpovto[1].htm Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Gen

– %HOME%\snetcfg.exe
%disquetera%\lsass.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Gen

– %HOME%\Application Data\Microsoft\Crypto\RSA\%CLSID%\a18ca4003deb042bbee7a40f15e1970b_1c1a3893-4672-472f-afbd-f2c903f9947c
– %HOME%\ndisrd.sys
%TEMPDIR%\184.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Rimecud.N.3

%TEMPDIR%\jfrevf.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/ATRAPS.Gen

%TEMPDIR%\mcillbuu.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dropper.Gen

%temporary internet files%\oriqbjdp[1].htm Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/ATRAPS.Gen

%TEMPDIR%\awkvrft.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dropper.Gen

%TEMPDIR%\bohvby.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Crypt.ZPACK.Gen

%SYSDIR%\regedit.exe
%TEMPDIR%\husu.exe
%TEMPDIR%\nrktcvy.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Spy.Gen

%SYSDIR%\drivers\aec.sys
– %HOME%\drvsign.exe
%TEMPDIR%\hqgqrnbdunn.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.
%TEMPDIR%\587.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.AO.1250

%temporary internet files%\rvqxfn[1].htm
%temporary internet files%\imwaic[1].htm Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dropper.Gen

%TEMPDIR%\joujbvje.exe
%temporary internet files%\fwelcx[1].htm
%SYSDIR%\drivers\zibmaunkvy9.sys Los análisis adicionales indicaron que este fichero es también viral. Detectado como: RKit/Tent.aui

%TEMPDIR%\a82d79a1.tmp
%temporary internet files%\loaderadv600[1].exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.AO.1250

%temporary internet files%\hypwhc[1].htm
%papelera de reciclaje%\%CLSID%\vsbntlo.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Rimecud.N.3

%temporary internet files%\yptozgozmu[1].htm Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Crypt.ZPACK.Gen

%temporary internet files%\pr3xyy[1].exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Rimecud.N.3

%SYSDIR%\drivers\aec.sys.bak



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://81.214.13**********.58/?7c222e27396f222c272a2e396a22282c2e3969222c2e2b28397d222f397b222e396c222e2f29262f272f397a225c25434b7a726f43716d746b7c6966317a677a3978227671766b1f


– La dirección es la siguiente:
   • http://115.85.23**********.119/?560805134508060d00041340080206041343080604010213570805135108041346080405030c050d05135008760f6961505845695b475e4156434c1b504d501352085c5b5c4135


– La dirección es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


– Las direcciones son las siguientes:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%
   • http://bedayton.com/ufwnltbz/**********?adv=%cadena de caracteres%


– La dirección es la siguiente:
   • http://go-thailand-now.com/**********?user=%cadena de caracteres%


– Las direcciones son las siguientes:
   • http://89.214.**********.17/?7e20283b6d202e25282c3b68202a2e2c3b6b202e2c292a3b7f202d3b79202c3b6e202c2d2b242d252d3b78205e27414978706d41736f76697e6b64337865783b7a20747374691d
   • http://62.149.**********.17/?9bc5c9cfde88c5cbc0cdc9de8dc5cfcbc9de8ec5cbc9cccfde9ac5c8de9cc5c9de8bc5c9c8cec1c8c0c8de9dc5bbc2a4ac9d9588a4968a938c9b8e81d69d809dde9fc59196918cf8


– La dirección es la siguiente:
   • http://go-thailand-now.com/**********?mode=%cadena de caracteres%&f=%número%


– La dirección es la siguiente:
   • http://go-thailand-now.com/**********?file=%cadena de caracteres%


– La dirección es la siguiente:
   • http://aebankonline.com/yulgbvqk/**********?id=%cadena de caracteres%&p=%número%


– La dirección es la siguiente:
   • http://go-thailand-now.com/**********?num=%número%


– Las direcciones son las siguientes:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%
   • http://bedayton.com/ufwnltbz/**********?adv=%cadena de caracteres%


– La dirección es la siguiente:
   • http://89.146.16**********.198/?c49a969581d79a949f929681d29a90949681d19a9496939081c59a9781c39a9681d49a9697919e979f9781c29ae49dfbf3c2cad7fbc9d5ccd3c4d1de89c2dfc281c09acec9ced3a7


– La dirección es la siguiente:
   • http://89.146.13**********.94/?c59b979580d69b959e939780d39b91959780d09b9597929180c49b9680c29b9780d59b9796909f969e9680c39be59cfaf2c3cbd6fac8d4cdd2c5d0df88c3dec380c19bcfc8cfd2a6


– La dirección es la siguiente:
   • http://196.217.**********.104/?adf3fffae8bef3fdf6fbffe8bbf3f9fdffe8b8f3fdfffaf9e8acf3fee8aaf3ffe8bdf3fffef8f7fef6fee8abf38df4929aaba3be92a0bca5baadb8b7e0abb6abe8a9f3a7a0a7bace


– La dirección es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


– Las direcciones son las siguientes:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%
   • http://bedayton.com/ufwnltbz/**********?adv=%cadena de caracteres%


– La dirección es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


– La dirección es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


– Las direcciones son las siguientes:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%
   • http://bedayton.com/ufwnltbz/**********?adv=%cadena de caracteres%


– La dirección es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


– Las direcciones son las siguientes:
   • http://208.110.82.186/**********
   • http://96.0.203.114/**********


– La dirección es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


– La dirección es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


– Las direcciones son las siguientes:
   • http://go-thailand-now.com/**********?876377c509c3a3f1b59f91d4c2f18b0e
   • http://go-thailand-now.com/**********?a2c44929ca4ccf3fda5849fe6a74f9a7


– La dirección es la siguiente:
   • http://208.53.183.4/**********


– La dirección es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%


– La dirección es la siguiente:
   • http://aebankonline.com/ufwnltbz/**********?adv=%cadena de caracteres%&code1=%cadena de caracteres%&code2=%número%&id=%cadena de caracteres%&p=%número%


– La dirección es la siguiente:
   • http://go-thailand-now.com/**********?sub=%cadena de caracteres%&fid=%número%


– La dirección es la siguiente:
   • http://go-thailand-now.com/**********?sessid=%cadena de caracteres%


– La dirección es la siguiente:
   • http://!/**********?t=%número%&a&id=%cadena de caracteres%


– La dirección es la siguiente:
   • http://bedayton.com/**********




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\587.exe


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\jfrevf.exe


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\awkvrft.exe


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\wsqptq.exe


– Ejecuta uno de los ficheros siguientes:
   • "drvsign.exe"


– Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\cmd.exe" /c del %TEMPDIR%\587.exe > nul


– Ejecuta uno de los ficheros siguientes:
   • "snetcfg.exe" -v -l ndisrd.inf -m ndisrd_m.inf -c s -i nt_ndisrd


– Ejecuta uno de los ficheros siguientes:
   • runonce -r


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\184.exe


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\husu.exe


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\joujbvje.exe


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\nrktcvy.exe


– Ejecuta uno de los ficheros siguientes:
   • c:\lsass.exe exe %TEMPDIR%\nrktcvy.exe


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\mcillbuu.exe


– Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\cmd.exe" /c del %TEMPDIR%\husu.exe > nul


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\bohvby.exe


– Ejecuta uno de los ficheros siguientes:
   • cmd /c %TEMPDIR%\hqgqrnbdunn.bat

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:



Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\System\CurrentControlSet\Services\ndisrd]
   • "DisplayName"="WinpkFilter Service"
   • "ErrorControl"=dword:0x00000001
   • "Group"="PNP_TDI"
   • "ImagePath"="system32\DRIVERS\ndisrd.sys"
   • "Start"=dword:0x00000003
   • "Tag"=dword:0x00000009
   • "Type"=dword:0x00000001



Elimina del registro de Windows el valor de la siguiente clave:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • internat.exe



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "EnableFirewall"=dword:0x00000000



Añade las siguientes claves al registro:

– [HKLM\SYSTEM\CurrentControlSet\Control\Network\NetCfgLockHolder]
   • "@"="Sample Netcfg Application (netcfg.exe)"

– [HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Parameters]
   • "Param1"="4"

– [HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Ndi]
   • "FilterClass"="failover"
   • "FilterDeviceInfId"="nt_ndisrdmp"
   • "HelpText"="WinpkFilter Driver"
   • "Service"="Ndisrd"

– [HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E974-E325-11CE-BFC1-08002BE10318}\
   {E72B696E-A8C6-409D-9061-F9F761901156}\Ndi\Interfaces]
   • "FilterMediaTypes"="ethernet, wan"
   • "LowerRange"="nolower"
   • "UpperRange"="noupper"

– [HKLM\SYSTEM\CurrentControlSet\Control\Class\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\0010]
   • "Characteristics"=dword:0x00000029
   • "ComponentId"="nt_ndisrdmp"
   • "DriverDate"="10-20-2005"
   • "DriverDateData"="%valores hex%"
   • "DriverDesc"="WinpkFilter Miniport"
   • "DriverVersion"="3.0.0.1"
   • "FilterInfId"="nt_ndisrd"
   • "InfPath"="oem15.inf"
   • "InfSection"="NdisrdMP.ndi"
   • "MatchingDeviceId"="nt_ndisrdmp"
   • "NetCfgInstanceId"="{3176222F-F7CE-4460-BF0E-40F4C354CAD0}"
   • "ProviderName"="NTKR"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   • "DHCP"="1069080"
   • "DNS"="AF6A3860,70CA3F13,1BF8782F,1BFF0A84,59B04312,D935A410,75C51962,75FEE8C0,7448CC6D,73F26375,1BF82AA1,76A1C295,744A298D,4F77A590,779A3332,73F1CC48,71203C96,D935A439,71C192E5,51541DED,53D80338,75FE0DD7,BDC26A29,7D636C89,75FEE135,77987384,BEAE0F53,75C2037C,3B5EED10,75FE7F74,75C32849,57442D77,598939D3,75C91217,70C5A4B6,70C52A68,6F5C886F,75C7B4BA,597B25C0,71C18E2C,73F208AF,779A8244,75C5B277,7A8A11A8,79F52698,B603C830,5EB7431A,59259351,75C59098,75C84704,77985045,75C003AA,29D6DE85,7C7880E9,779A79F1,70C9B1A6,75CC4477,BC191310,744A6621,BEF14F44,592E4343,5744F4D8,73BA06B0,70CB8C08,5B8998FB,779A827E,79F55472,7C7D5229,BD30D14B,75C541DB,75C7E1EF,74620477,B7574547,4E274B08,7375A14C,4E274B86,3BA17F28,779A7392,7375A6CC,75C6E399,3D02C121,7978AE86,D4105AEC,79180F5A,75C5906E,4D4E1302,70C8DFB3,73F09F78,3B676444,7375F50D,B6022311,73F0DB2F,BDDD995A,CA08EE7B,7C7B9672,75CF3606,70CACC5A,567E457D,70CB83E3,70C5DD42,3D01F761,5D9C625B,5429313A,BA5907D9,B630FEBC,592DDAF3,70C5077B,7BED2C4E,B6000BBE,CBC0E6A8,BB222A98,4E2724C8,737F08F3,CBC186DB,75C404EA,3BA1338B,546DC46E,77A64585,75C69E0F,BB037BF5,75CD11D3,70CA6B11,779A7141,7357A43A,6F5C8DB2,7CFDA5A1,BC1A1A3A,73F1CB4F,6DBA748E,70C9A8E5,D5A10549,70C5BC7F,70C5764A,B6042CA1,5EBDB005,59853196,3BA138F0,788A7EE4,779A3121,71FCF5B3,C4CE501C,73FC209B,73FC269D,29F83B00,70C5860C,75CE3313,765E52DC,73F0CF56,714C5E12,4DED43DB,762F6F3A,4FA36A09,70C5852A,73BA7306,5B89982B,79F56421,70CB9E79,73B89CE7,B45C9C2E,74620609,BB5A999E,599BC728,BB0F13A5,75C63246,7375CDCD,CA803015,70CD189F,576DE7DE,CA83A4BB,79E37365,3B59342C,3E8BDACB,75C4E570,779A778C,5C24DBD9,5DB189D7,29F92E6E,C9516F26,75C807AF,75CD61AA,75C7C420,C8140BC6,29D98B11,75FE0818,54FDCEAF,779A7F92,70C818E4,558255FB,C4CE681F,779A32C6,724FA678,5B490D6B,75C948EF,7BED442D,BA511B3D,73F1A5C1,75CF2545,CB7357E2,75C30E54,4F75A47A,7C7B7B41,5290BC31,4E3AA622,73B8DBDF,75F15882,4E274B0E,BA0E4535,6EE27356,7448D173,73F18EDE,59B8D9C0,7798FCB6,70CAA0E3,75C94AB0,B69C9F46,295C210D,79F536A6,74EE4131,779A24F6,71C1DADC,73FC2B41,779A74FE,3BA1390C,5EB7F4DB,79F56C7F,CBD727CF,3B5FD208,CEF840E1,4E274B3C,C4CE5957,7000F18B,50DDF9D1,5E345528,5744A38F,7449291C,79F51991,5D67AFC5,B75745F1,C85F9A7F,5B93DDC7,55CA2942,29CFDA4B,BCAD4294,4D4EF4AB,70C9A366,C4DA5732,BDC11407,C4CE56D6,5F6C0A6D,71C14A90,7C8234A4,C86D3D8C,70CE4E2C,BC1946F2,59D46501,7BEE798A,29FB8E36,5EB74357,BE496A74,5057F060,BE8E0D70,7C7B8FBF,3E8BDABE,C4D92A2A,7BEE7A3D,779A0CB4,70C5C2C7,6F5C8CBA,C9FE2C2F,3D01128A,C4D9D4A4,BE9E5CE3,73B8F15C,71C1E6D0,779A46EA,75C83B68,71C14E28,70C573C0,5928C587,CAA02E7A,75C7B3D7,5B539969,75FEA3C4,75621260,7BED1BDA,3B5E2DA1,7113210F,75FE6C09,3B5F64B5,5D674B2D,73F22E63,70CE0C55,75C95D7F,75CD221F,7A23564C,BE619917,7C7B0898,4F72794D,C89FC45B,75C51827,70CE55A0,7961A29A,70C525B7,3B6089DE,75C8C155,73A45184,73A4DBAF,79F58C00,BC81E8C7,3B5F0999"

– [HKLM\SYSTEM\CurrentControlSet\Control\Network\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\Descriptions]
   • "WinpkFilter Miniport"="1"

– [HKLM\SYSTEM\CurrentControlSet\Control\Class\
   {4D36E972-E325-11CE-BFC1-08002BE10318}\0011]
   • "Characteristics"=dword:0x00000029
   • "ComponentId"="nt_ndisrdmp"
   • "DriverDate"="10-20-2005"
   • "DriverDateData"="%valores hex%"
   • "DriverDesc"="WinpkFilter Miniport"
   • "DriverVersion"="3.0.0.1"
   • "FilterInfId"="nt_ndisrd"
   • "InfPath"="oem15.inf"
   • "InfSection"="NdisrdMP.ndi"
   • "MatchingDeviceId"="nt_ndisrdmp"
   • "NetCfgInstanceId"="{43179874-A743-444B-9A07-D10E4D8F4308}"
   • "ProviderName"="NTKR"



Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Driver Signing]
   Nuevo valor:
   • "Policy"=hex:0

– [HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
   Nuevo valor:
   • "MaxUserPort"=dword:0x0000fffe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
   Nuevo valor:
   • "PrivateHash"="%valores hex%"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


Asunto:
El siguiente:
   • Lonely Wives Looking For Hookup



El cuerpo del mensaje:
– Contiene código HTML.


Archivo adjunto:

El archivo adjunto es una copia del propio programa malicioso.

 Backdoor (Puerta trasera) Abre los siguientes puertos:

– 89.149.2**********.140 en el puerto UDP 8811
– 89.149.2**********.222 en el puerto TCP 65534

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el lunes, 12 de julio de 2010
Descripción actualizada por Petre Galan el martes, 20 de julio de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.