Descripción completa

Nombre:	TR/Hosts.BD
Descubierto:	23/08/2010
Tipo:	Troyano
Subtipo:	Hosts
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Medio
Potencial de propagación:	Medio-bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	126.976 Bytes
Suma de control MD5:	efaa4cad70db7d08aa32ba670260a0d5
Versión del IVDF:	7.10.11.01 - lunes 23 de agosto de 2010

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Symantec: W32.Pilleuz
   • Mcafee: Artemis!EFAA4CAD70DB
   • Kaspersky: Email-Worm.Win32.Joleee.fee
   • PCTools: Malware.Pilleuz
   • Eset: Win32/VB.PFT
   • AhnLab: Win-Trojan/Seint.126976.E
   • Authentium: W32/Trojan2.NDBD
   • DrWeb: Trojan.MulDrop1.42701
   • Fortinet: W32/Agent.E880!tr
   • Ikarus: Trojan.SuspectCRC

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7

Efectos secundarios:
   • Suelta un fichero
   • Infecta archivos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\syscache.exe
   • %system drive%\%directorio actual%\%ficheros ejecutados%

Modifica el siguiente archivo:
   • %SYSDIR%\drivers\etc\hosts

Elimina la copia inicial del virus.

Crea el siguiente fichero:

– %WINDIR%\%executed file name%.bat Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• "%executed file name%"="%SYSDIR%\syscache.exe"

Ficheros host El fichero host es modificado de la siguiente manera:

– En este caso, las entradas existentes quedan sin modificar.

– El acceso a los siguientes dominios es redirigido a otras destinaciones:
   • 127.0.0.1 download82.avast.com; 127.0.0.1 mcafeefans.com;
      127.0.0.1 www.trapware.com; 127.0.0.1
      http://downloads1.kaspersky-labs.com; 127.0.0.1 u40.eset.com;
      127.0.0.1 sunbelt-software.com; 127.0.0.1 www.kztechs.com;
      127.0.0.1 forum.jiangmin.com; 127.0.0.1
      dnl-kr15.kaspersky-labs.com; 127.0.0.1 u51.eset.com; 127.0.0.1
      download83.avast.com; 127.0.0.1 media.fastclick.net; 127.0.0.1
      www.trendmicro.com; 127.0.0.1 http://downloads2.kaspersky-labs.com;
      127.0.0.1 u41.eset.com; 127.0.0.1 sygate.com; 127.0.0.1
      www.lavasoft.nu; 127.0.0.1 f-prot.com; 127.0.0.1
      dnl-kr2.kaspersky-labs.com; 127.0.0.1 u52.eset.com; 127.0.0.1
      download84.avast.com; 127.0.0.1 microsoft.com; 127.0.0.1
      www.trendmicro.com.cn; 127.0.0.1
      http://downloads3.kaspersky-labs.com; 127.0.0.1 u42.eset.com;
      127.0.0.1 symantec.com; 127.0.0.1 www.lavasoftusa.com; 127.0.0.1
       fr.bitdefender.com; 127.0.0.1 dnl-kr3.kaspersky-labs.com;
      127.0.0.1 u53.eset.com; 127.0.0.1 download85.avast.com;
      127.0.0.1 microsoft.fr; 127.0.0.1 www.trendmicro.fr; 127.0.0.1
       http://downloads4.kaspersky-labs.com; 127.0.0.1 u43.eset.com;
      127.0.0.1 symantec-ese.baynote.net; 127.0.0.1
      www.liutilities.com; 127.0.0.1 fr.drweb.com; 127.0.0.1
      dnl-kr4.kaspersky-labs.com; 127.0.0.1 u54.eset.com; 127.0.0.1
      download9.quickheal.com; 127.0.0.1 mirror02.gdata.de; 127.0.0.1
      www.uk.trendmicro-europe.com; 127.0.0.1 http://nod32.com; 127.0.0.1
       u44.eset.com; 127.0.0.1 tds.diamondcs.com.au; 127.0.0.1
      www.liveupdate.symantec.com; 127.0.0.1 fr.mcafee.com; 127.0.0.1
      dnl-kr5.kaspersky-labs.com; 127.0.0.1 u55.eset.com; 127.0.0.1
      download900.avast.com; 127.0.0.1 mmsk.cn; 127.0.0.1
      www.update.symantec.com; 127.0.0.1 bitdefender.secyber.net;
      127.0.0.1 u45.eset.com; 127.0.0.1 threatexpert.com

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Carlos Valero Llabata el martes 24 de agosto de 2010
Descripción actualizada por Carlos Valero Llabata el martes 24 de agosto de 2010

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas