Nombre:TR/Hosts.AQ.1
Descubierto:09/08/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-alto
Fichero estático:
Tamaño:2.724.864 Bytes
Suma de control MD5:575cb9dd8434d2e074ba24a63ac51b25
Versión del IVDF:7.10.10.121 - lunes 9 de agosto de 2010

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Downloader.Win32.Agent.efqa
   •  Sophos: Mal/FakeAV-EA
   •  Avast: Win32:Crypt-HFP
   •  Microsoft: Trojan:Win32/FakeVimes
   •  Panda: Adware/MySecurityShield
   •  Eset: Win32/Kryptik.FWJ
   •  GData: Win32:Crypt-HFP
   •  AhnLab: Win-Trojan/Fakeav.2724864
   •  DrWeb: Trojan.FakeSecure.15
   •  Ikarus: Trojan.Win32.FakeVimes


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows Vista
   • Windows 7


Efectos secundarios:
   • Suelta un fichero
   • Suelta ficheros dañinos
   • Infecta archivos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Modifica el siguiente archivo:
   • %SYSDIR%\drivers\etc\hosts



Copia el siguiente fichero:
    •  %SYSDIR%\drivers\etc\hosts en %SYSDIR%\drivers\etc\hosts_new



Elimina la copia inicial del virus.



Crea los siguientes ficheros:

– %ALLUSERSPROFILE%\Application Data\%directorio escogido de forma aleatoria%\%serie de caracteres aleatorios%.cfg Además, el fichero es ejecutado después de haber sido creado. Este es un fichero sin código viral y contiene información acerca del programa en sí.
%SYSDIR%\drivers\etc\hosts_new

 Registro Modifica la siguiente clave del registro:

– [HKCU\Software\Microsoft\Internet Explorer]
   Nuevo valor:
   • "IIL"=-
   • "ltHI"=-
   • "ltTST"=-
   • "PRS"=-
   • "BID"=-

 Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso a los siguientes dominios es redirigido a otras destinaciones:
   • 74.125.45.100 4-open-davinci.com
   • 74.125.45.100 securitysoftwarepayments.com
   • 74.125.45.100 privatesecuredpayments.com
   • 74.125.45.100 secure.privatesecuredpayments.com
   • 74.125.45.100 getantivirusplusnow.com
   • 74.125.45.100 secure-plus-payments.com
   • 74.125.45.100 www.getantivirusplusnow.com
   • 74.125.45.100 www.secure-plus-payments.com


 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Carlos Valero Llabata el viernes 13 de agosto de 2010
Descripción actualizada por Carlos Valero Llabata el viernes 13 de agosto de 2010

Volver . . . .