¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Scar.bxqc
Descubierto:24/03/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-alto
Potencial daino:Medio-alto
Fichero esttico:S
Tamao:225.280 Bytes
Suma de control MD5:0f728c1187e046662148ee7021e4b3b1
Versin del VDF:7.10.02.73
Versin del IVDF:7.10.05.192 - miércoles 24 de marzo de 2010

 General Alias:
   •  Bitdefender: Trojan.Agent.APCE
   •  Panda: Bck/Oscarbot.YL
   •  Eset: Win32/Sality.NAE


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dainos
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\into.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %SYSDIR%\wmimgr32.dl_



Crea los siguientes ficheros:

%SYSDIR%\wmimgr32.dll Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: W32/Sality.L

%SYSDIR%\wmimgr32.dl_ Los anlisis adicionales indicaron que este fichero es tambin viral. Detectado como: W32/Sality.L.1




Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • http://www.invis1blearm3333.com/**********/?id607421


Las direcciones son las siguientes:
   • http://saeu.ego**********.com/?id607421
   • http://ngmtrl.555**********.com/?id607421
   • http://wbrqu.wtc**********.com/?id607421
   • http://cqjri.fdp**********.com/?id607421
   • http://rkvv.bpf**********.com/?id607421
   • http://vmmucs.u7z**********.com/?id607421
   • http://searchportal.inf**********.com/?o_id=%nmero%&domainname=%cadena de caracteres%
   • http://gcst.zvc**********.com/?id607421
   • http://www.rus**********.com/
   • http://sp7.you**********.com/?acc=%cadena de caracteres%&dm=%cadena de caracteres%


La direccin es la siguiente:
   • http://sp7.yousee.com/Landers/lander_6/**********?q=%nmero%




Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • %WINDIR%\syste

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%ficheros ejecutados%"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "person"="%SYSDIR%\into.exe"

 Backdoor (Puerta trasera) Abre los siguientes puertos:

sam5.mom**********.com en el puerto UDP 5051
sam2.123**********.com en el puerto UDP 5051

 Inyectar el cdigo viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\wmimgr32.dll

    Nombre del proceso:
   • explorer.exe


 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Petre Galan el viernes 23 de julio de 2010
Descripción actualizada por Andrei Ivanes el viernes 30 de julio de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.