¿Necesita arreglar su PC?
Contrate un experto
Nombre:Worm/Agent.aap
Descubierto:15/04/2010
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:
Tamaño:607.744 Bytes
Suma de control MD5:5b476a304acd0a22b28264d8876d4989
Versión del VDF:7.10.02.159
Versión del IVDF:7.10.06.108 - jueves, 15 de abril de 2010

 General Métodos de propagación:
   • Función de autoejecución
   • Correo electrónico
   • Peer to Peer


Alias:
   •  Bitdefender: Worm.Generic.235118
   •  Panda: W32/P2PShared.U
   •  Eset: Win32/Merond.O


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\Googleuy.exe
   • %disquetera%\RECYCLER\%CLSID%\redmond.exe



Elimina el siguiente fichero:
   • %SYSDIR%\rundll31.exe



Crea los siguientes ficheros:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%disquetera%\RECYCLER\%CLSID%\Desktop.ini
%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome\content\timer.xul Los análisis adicionales indicaron que este fichero es también viral. Detectado como: JS/Dursg.B

%SYSDIR%\runocx13.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Buzus.HC

%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\chrome.manifest
%PROGRAM FILES%\Mozilla Firefox\extensions\{9CE11043-9A15-4207-A565-0C94C42D590D}\install.rdf
%SYSDIR%\rundll31.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Prolaco.212992.E

– %HOME%\Application Data\SystemProc\lsass.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Prolaco.212992.E




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://controllrequest.com/**********?aid=%cadena de caracteres%


– La dirección es la siguiente:
   • http://dominatorcontroll.com/**********?pop=%número%&aid&sid&key


– La dirección es la siguiente:
   • http://stepandomain.com/**********?aid=%cadena de caracteres%&ver=%número%


– La dirección es la siguiente:
   • http://controllrequest.com/**********?sd=%cadena de caracteres%&aid=%cadena de caracteres%




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\rundll31.exe"


– Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\runocx13.exe"


– Ejecuta uno de los ficheros siguientes:
   • "%HOME%\Application Data\SystemProc\lsass.exe"

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Google Updater 5"="%SYSDIR%\Googleuy.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • "RTHDBPL"="%HOME%\Application Data\SystemProc\lsass.exe"



Elimina del registro de Windows los valores de la siguiente clave:

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • APVXDWIN
   • AVG8_TRAY
   • AVP
   • BDAgent
   • CAVRID
   • DrWebScheduler
   • F-PROT Antivirus Tray application
   • ISTray
   • K7SystemTray
   • K7TSStart
   • McENUI
   • MskAgentexe
   • OfficeScanNT Monitor
   • RavTask
   • SBAMTray
   • SCANINICIO
   • SpIDerMail
   • Spam Blocker for Outlook Express
   • SpamBlocker
   • Windows Defender
   • avast!
   • cctray
   • egui
   • sbamui



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%SYSDIR%\Googleuy.exe"="%SYSDIR%\Googleuy.exe:*:Enabled:Explorer"



Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "EnableLUA"=dword:0x00000000

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer]
   • "tyrina7"="06"
   • "tyrina8"="24"

– [HKCU\Identities]
   • "Curr version"="%número%"
   • "Inst Date"="%fecha actual%"
   • "Last Date"="%fecha actual%"
   • "Popup count"="0"
   • "Popup date"="0"
   • "Popup time"="0"
   • "Send Inst"="ok"

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:


De:
La dirección del remitente es falsa.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.
– Direcciones de correo recolectadas de WAB (La libreta de direcciones de Windows - Windows Address Book)


Asunto:
El siguiente:
   • You have received A Hallmark E-Card!



El cuerpo del mensaje:
– Contiene código HTML.


Archivo adjunto:

El adjunto es un archivo que contiene una copia del programa viral.

 P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones: Busca los siguientes directorios:
   • %PROGRAM FILES%\winmx\shared\
   • %PROGRAM FILES%\tesla\files\
   • %PROGRAM FILES%\limewire\shared\
   • %PROGRAM FILES%\morpheus\my shared folder\
   • %PROGRAM FILES%\emule\incoming\
   • %PROGRAM FILES%\edonkey2000\incoming\
   • %PROGRAM FILES%\bearshare\shared\
   • %PROGRAM FILES%\grokster\my grokster\
   • %PROGRAM FILES%\icq\shared folder\
   • %PROGRAM FILES%\kazaa lite k++\my shared folder\
   • %PROGRAM FILES%\kazaa lite\my shared folder\
   • %PROGRAM FILES%\kazaa\my shared folder\

   Al tener éxito, crea los siguientes ficheros:
   • YouTubeGet 5.6.exe; Youtube Music Downloader 1.3.exe; WinRAR v3.x
      keygen [by HiXem].exe; Windows2008 keygen and activator.exe; [+ MrKey
      +] Windows XP PRO Corp SP3 valid-key generator.exe; Windows Password
      Cracker + Elar3 key.exe; [Eni0j0 team] Windows 7 Ultimate keygen.exe;
      Windows 2008 Enterprise Server VMWare Virtual Machine.exe;
      Winamp.Pro.v7.xx.PowerPack.Portable+installer.exe; Website Hacker.exe;
      [Eni0j0 team] Vmvare keygen.exe; VmWare 7.x keygen.exe; UT 2003
      KeyGen.exe; Twitter FriendAdder 2.3.9.exe; Tuneup Ultilities 2010.exe;
      [antihack tool] Trojan Killer v2.9.4173.exe; Total Commander7
      license+keygen.exe; Super Utilities Pro 2009 11.0.exe; Sub7 2.5.1
      Private.exe; Sophos antivirus updater bypass.exe; sdbot with NetBIOS
      Spread.exe; [fixed]RapidShare Killer AIO 2010.exe; Rapidshare Auto
      Downloader 3.8.6.exe; Power ISO v4.4 + keygen milon.exe; [patched,
      serial not needed] PDF Unlocker v2.0.5.exePDF-XChange Pro.exe;
      [patched, serial not needed] PDF to Word Converter 3.4.exe; PDF
      password remover (works with all acrobat reader).exe; Password
      Cracker.exe; Norton Internet Security 2010 crack.exe; Norton
      Anti-Virus 2010 Enterprise Crack.exe; Norton Anti-Virus 2005
      Enterprise Crack.exe; NetBIOS Hacker.exe; NetBIOS Cracker.exe;
      [patched, serial not need] Nero 9.x keygen.exe; Myspace theme
      collection.exe; MSN Password Cracker.exe; Mp3 Splitter and Joiner Pro
      v3.48.exe; Motorola, nokia, ericsson mobil phone tools.exe;
      Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe; Microsoft
      Visual Studio KeyGen.exe; Microsoft Visual C++ KeyGen.exe; Microsoft
      Visual Basic KeyGen.exe; McAfee Total Protection 2010 [serial patch by
      AnalGin].exe; Magic Video Converter 8.exe; LimeWire Pro v4.18.3
      [Cracked by AnalGin].exe; L0pht 4.0 Windows Password Cracker.exe;
      K-Lite Mega Codec v5.2 Portable.exe; K-Lite Mega Codec v5.2.exe;
      Keylogger unique builder.exe; Kaspersky Internet Security 2010
      keygen.exe; Kaspersky AntiVirus 2010 crack.exe; IP Nuker.exe; Internet
      Download Manager V5.exe; Image Size Reducer Pro v1.0.1.exe; ICQ Hacker
      Trial version [brute].exe; Hotmail Hacker [Brute method].exe; Hotmail
      Cracker [Brute method].exe; Half-Life 2 Downloader.exe; Grand Theft
      Auto IV [Offline Activation + mouse patch].exe; Google SketchUp 7.1
      Pro.exe; G-Force Platinum v3.7.6.exe; FTP Cracker.exe; DVD Tools Nero
      10.x.x.x.exe; Download Boost 2.0.exe; Download Accelerator Plus
      v9.2.exe; Divx Pro 7.x version Keymaker.exe; DivX 5.x Pro KeyGen
      generator.exe; DCOM Exploit archive.exe; Daemon Tools Pro 4.8.exe;
      Counter-Strike Serial key generator [Miona patch].exe; CleanMyPC
      Registry Cleaner v6.02.exe; Brutus FTP Cracker.exe; Blaze DVD Player
      Pro v6.52.exe; BitDefender AntiVirus 2010 Keygen.exe; Avast 5.x
      Professional.exe; Avast 4.x Professional.exe; Ashampoo Snap 3.xx
      [Skarleot Group].exe; AOL Password Cracker.exe; AOL Instant Messenger
      (AIM) Hacker.exe; AnyDVD HD v.6.3.1.8 Beta incl crack.exe; Anti-Porn
      v13.x.x.x.exe; Alcohol 120 v1.9.x.exe; Adobe Photoshop CS4 crack by
      M0N5KI Hack Group.exe; Adobe Illustrator CS4 crack.exe; Adobe Acrobat
      Reader keygen.exe; Ad-aware 2010.exe; [patched, serial not needed]
      Absolute Video Converter 6.2-7.exe


 Backdoor (Puerta trasera) Abre el siguiente puerto:

– javaupdate.ser**********.org en el puerto TCP 443

 Robo de informaciones Intenta robar las siguientes informaciones:

– Se inicia una rutina de creación de ficheros log después de teclear los siguientes textos:
   • cialis; pharma; casino; finance; mortgage; insurance; gambling;
      health; hotel; travel; antivirus; antivir; pocker; poker; video; baby;
      bany; porn; golf; diet; vocations; design; graphic; football; footbal;
      estate; job; baseball; shop; books; gifts; money; spyware; credit;
      loans; loan; dating; ebay; myspace; virus; film; ipod; verizon;
      amazon; iphone; software; movie; mobile; bank; music; cars;
      craigslist; game; sex; sport; medical; school; wallpaper; dvd;
      military; weather; twitter; fashion; spybot; trading; tramadol; yobt;
      flower; cigarettes; doctor; flights; airlines; comcast

 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://whatismyip.com/automation/n09230945.asp

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el miércoles, 21 de julio de 2010
Descripción actualizada por Andrei Ivanes el jueves, 29 de julio de 2010

Volver . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Todos los derechos reservados.

Mi Cuenta

https:// Esta ventana está cifrada para su seguridad.