¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Koobface.M
Descubierto:02/08/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:13.824 Bytes
Suma de control MD5:89ce444593ac67ab669768c2160fc4ee
Versión del IVDF:7.10.10.45 - lunes, 2 de agosto de 2010

 General Alias:
   •  Bitdefender: Trojan.Agent.21307
   •  Panda: W32/Koobface.KG.worm
   •  Eset: Win32/TrojanProxy.Small.NEB


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %PROGRAM FILES%\webserver\webserver.exe




Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://u07012010u.com/**********/?uptime=%número%&v=%número%&sub=%número%&ping=%número%&proxy=%número%&hits=%número%&noref=%número%&port=%número%&ftp=%número%




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • reg add HKLM\Software\Microsoft\Windows\CurrentVersion /v Port /t REG_DWORD /d 1034


– Ejecuta uno de los ficheros siguientes:
   • netsh add allowedprogram "%PROGRAM FILES%\webserver\webserver.exe" webserver ENABLE


– Ejecuta uno de los ficheros siguientes:
   • netsh firewall add portopening TCP 1034 webserver ENABLE


– Ejecuta uno de los ficheros siguientes:
   • netsh firewall add portopening TCP 4000 webserver ENABLE


– Ejecuta uno de los ficheros siguientes:
   • netsh firewall add portopening TCP 53 webserver ENABLE


– Ejecuta uno de los ficheros siguientes:
   • sc create "webserver" binPath= "%PROGRAM FILES%\webserver\webserver.exe" type= share start= auto


– Ejecuta uno de los ficheros siguientes:
   • reg add "HKLM\SYSTEM\CurrentControlSet\Services\webserver" /v FailureActions /t REG_BINARY /d 00000000000000000000000003000000140000000100000060EA00000100000060EA00000100000060EA0000 /f


– Ejecuta uno de los ficheros siguientes:
   • sc start "webserver"

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\webserver]
   • "ErrorControl"=dword:0x00000001
   • "ImagePath"="%PROGRAM FILES%\webserver\webserver.exe"
   • "ObjectName"="LocalSystem"
   • "Start"=dword:0x00000002
   • "Type"=dword:0x00000020



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
   • "1034:TCP"="1034:TCP:*:Enabled:webserver"
   • "4000:TCP"="4000:TCP:*:Enabled:webserver"
   • "53:TCP"="53:TCP:*:Enabled:webserver"



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion]
   • "Port"=dword:0x00000344

 Backdoor (Puerta trasera) Abre el siguiente puerto:

%PROGRAM FILES%\webserver\webserver.exe en el puerto TCP 1034

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el miércoles, 22 de septiembre de 2010
Descripción actualizada por Petre Galan el viernes, 24 de septiembre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.