¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Scar.bxqc
Descubierto:24/03/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio-alto
Fichero estático:
Tamaño:225.280 Bytes
Suma de control MD5:0f728c1187e046662148ee7021e4b3b1
Versión del VDF:7.10.02.73
Versión del IVDF:7.10.05.192 - miércoles, 24 de marzo de 2010

 General Alias:
   •  Bitdefender: Trojan.Agent.APCE
   •  Panda: Bck/Oscarbot.YL
   •  Eset: Win32/Sality.NAE


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\into.exe



Elimina la copia inicial del virus.



Elimina el siguiente fichero:
   • %SYSDIR%\wmimgr32.dl_



Crea los siguientes ficheros:

%SYSDIR%\wmimgr32.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: W32/Sality.L

%SYSDIR%\wmimgr32.dl_ Los análisis adicionales indicaron que este fichero es también viral. Detectado como: W32/Sality.L.1




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www.invis1blearm3333.com/**********/?id607421


– Las direcciones son las siguientes:
   • http://saeu.ego**********.com/?id607421
   • http://ngmtrl.555**********.com/?id607421
   • http://wbrqu.wtc**********.com/?id607421
   • http://cqjri.fdp**********.com/?id607421
   • http://rkvv.bpf**********.com/?id607421
   • http://vmmucs.u7z**********.com/?id607421
   • http://searchportal.inf**********.com/?o_id=%número%&domainname=%cadena de caracteres%
   • http://gcst.zvc**********.com/?id607421
   • http://www.rus**********.com/
   • http://sp7.you**********.com/?acc=%cadena de caracteres%&dm=%cadena de caracteres%


– La dirección es la siguiente:
   • http://sp7.yousee.com/Landers/lander_6/**********?q=%número%




Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • %WINDIR%\syste

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%ficheros ejecutados%"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "person"="%SYSDIR%\into.exe"

 Backdoor (Puerta trasera) Abre los siguientes puertos:

– sam5.mom**********.com en el puerto UDP 5051
– sam2.123**********.com en el puerto UDP 5051

 Inyectar el código viral en otros procesos –  Inyecta el siguiente fichero en un proceso: %SYSDIR%\wmimgr32.dll

    Nombre del proceso:
   • explorer.exe


 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Petre Galan el viernes, 23 de julio de 2010
Descripción actualizada por Andrei Ivanes el viernes, 30 de julio de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.