Nombre:TR/Dldr.Zbot.AT.17
Descubierto:16/08/2010
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:191.488 Bytes
Suma de control MD5:2d1be3ed44f7360C8a63c0bffb6e4100
Versión del IVDF:7.10.10.203 - martes 17 de agosto de 2010

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Mcafee: Heuristic.BehavesLike.Win32.Spyware.H
   •  F-Secure: Suspicious:W32/Malware!Gemini
   •  Sophos: Mal/FakeAV-CX
   •  Sunbelt: VirTool.Win32.Obfuscator.hg!b
   •  AhnLab: Trojan/Win32.FakeAV
   •  Ikarus: Trojan-Downloader.Win32.CodecPack


Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Suelta un fichero
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Elimina la copia inicial del virus.



Crea el siguiente fichero:

%WINDIR%\Tasks\%CLSID%.job Además, el fichero es ejecutado después de haber sido creado. Tarea planificada que ejecuta el malware en tiempos predefinidos.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%serie de caracteres aleatorios%"="%directorio actual%\%ficheros ejecutados%"



Añade las siguientes claves al registro:

– [HKCU\Software\XML]
– [HKCU\Software\Microsoft\MediaPlayer\Health]
– [HKCU\Software\Microsoft\MediaPlayer\Health\%CLSID%]
– [HKCU\Software\%serie de caracteres aleatorios%]
   • "UhuH"="%serie de caracteres aleatorios%"
   • "UhuS"="%serie de caracteres aleatorios%"
   • "UdiH"=dword:01cabc4b
   • "UdiB"=dword:506b2a50
   • "Udi0"=dword:00000001

Descripción insertada por Carlos Valero Llabata el miércoles 18 de agosto de 2010
Descripción actualizada por Carlos Valero Llabata el miércoles 18 de agosto de 2010

Volver . . . .