¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Koobface.M
Descubierto:02/08/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:13.824 Bytes
Suma de control MD5:89ce444593ac67ab669768c2160fc4ee
Versin del IVDF:7.10.10.45 - lunes 2 de agosto de 2010

 General Alias:
   •  Bitdefender: Trojan.Agent.21307
   •  Panda: W32/Koobface.KG.worm
   •  Eset: Win32/TrojanProxy.Small.NEB


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %PROGRAM FILES%\webserver\webserver.exe




Intenta descargar un fichero:

La direccin es la siguiente:
   • http://u07012010u.com/**********/?uptime=%nmero%&v=%nmero%&sub=%nmero%&ping=%nmero%&proxy=%nmero%&hits=%nmero%&noref=%nmero%&port=%nmero%&ftp=%nmero%




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1034


Ejecuta uno de los ficheros siguientes:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


Ejecuta uno de los ficheros siguientes:
   • netsh firewall add portopening TCP 1034 webserver ENABLE


Ejecuta uno de los ficheros siguientes:
   • netsh firewall add portopening TCP 4000 webserver ENABLE


Ejecuta uno de los ficheros siguientes:
   • netsh firewall add portopening TCP 53 webserver ENABLE


Ejecuta uno de los ficheros siguientes:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


Ejecuta uno de los ficheros siguientes:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f


Ejecuta uno de los ficheros siguientes:
   • sc start "webserver"

 Registro Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

[HKLM\SYSTEM\CurrentControlSet\Services\webserver]
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="%PROGRAM FILES%\webserver\webserver.exe"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "1034:TCP"="1034:TCP:*:Enabled:webserver"
   • "4000:TCP"="4000:TCP:*:Enabled:webserver"
   • "53:TCP"="53:TCP:*:Enabled:webserver"



Aade la siguiente clave al registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "Port"=dword:0x00000344

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%PROGRAM FILES%\webserver\webserver.exe en el puerto TCP 1034

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el miércoles 22 de septiembre de 2010
Descripción actualizada por Petre Galan el viernes 24 de septiembre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.