¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Krypt.ehl.228352
Descubierto:18/05/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:228.352 Bytes
Suma de control MD5:6942724549097e9ddd95a338b998a433
Versin del IVDF:7.10.07.130 - martes 18 de mayo de 2010

 General Alias:
   •  Sophos: Mal/Agent-AS
   •  Bitdefender: Trojan.Generic.KD.12471
   •  Panda: W32/Pinit.L.worm
   •  Eset: Win32/Pinit.AF


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dainos
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\cooper.mine



Elimina el siguiente fichero:
   • %SYSDIR%\pgxahdwvzy



Crea los siguientes ficheros:

%SYSDIR%\user32.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Patched.Gen2

%SYSDIR%\agzrngg Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Patched.Gen2

%SYSDIR%\dllcache\user32.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Patched.Gen2

%SYSDIR%\pgxahdwvzy Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: TR/Patched.Gen2

%SYSDIR%\h7t.wt
%SYSDIR%\hgtd.ruy
%temporary internet files%\r[1].php
%SYSDIR%\nmklo.dll



Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://polujopa.com/tpsa/gate/**********


La direccin es la siguiente:
   • http://adobecompany.co.uk/tpsa/**********


La direccin es la siguiente:
   • http://adobecompany.co.uk/tpsa/**********




Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\Wbem\wmic.exe" path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

 Registro Aade las siguientes claves al registro:

[HKLM\SOFTWARE\9]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x00bbdf19
   • "31AC70412E939D72A9234CDEBB1AF5867B"="%cadena de caracteres%"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "MID"="F0998D6076FC4887B1F92F247CE0EE8CF48D83CDBA1B4A5E9FFBA78C9F0142E9"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
   • "Appisqt_Dlls"="nmklo"

[HKLM\SOFTWARE\1]
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:0x00bbdf19
   • "31AC70412E939D72A9234CDEBB1AF5867B"="%cadena de caracteres%"
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:0x00000000

[HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\
   Licensing Core]
   • "EnableConcurrentSessions"=dword:0x00000001



Modifica la siguiente clave del registro:

[HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server]
   Nuevo valor:
   • "fDenyTSConnections"=dword:0x00000000

 Backdoor (Puerta trasera) Abre los siguientes puertos:

174.36.1**********.1********** en el puerto TCP 4521
174.36.1**********.1********** en el puerto TCP 55039
174.36.1**********.1********** en el puerto TCP 51534

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el miércoles 14 de julio de 2010
Descripción actualizada por Petre Galan el martes 20 de julio de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.