¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Meredrop.A.12421
Descubierto:08/08/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:189.440 Bytes
Suma de control MD5:ada7ddfbc9abd5686fd8caa8a85b67d1
Versin del VDF:7.10.09.170
Versin del IVDF:7.10.10.104 - domingo 8 de agosto de 2010

 General Mtodo de propagacin:
   • Red local


Alias:
   •  Mcafee: Downloader-CEW.a
   •  Kaspersky: Worm.Win32.Pinit.rl
   •  TrendMicro: TROJ_FAKEAV.SMZU
   •  Sophos: Mal/FakeAV-EI
     Avast: Win32:MalOb-BU
     Microsoft: Trojan:Win32/Meredrop
   •  Panda: W32/Pinit.M.worm
     PCTools: Trojan.FakeAV
   •  VirusBuster: Worm.Pinit.VN
AhnLab: Trojan/Win32.FakeAV
     Authentium: W32/Trojan2.NCZZ
     Fortinet: W32/Pinit.EI!worm
     Ikarus: Worm.Win32.Pinit
     Norman: W32/Pinit.CD


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista


Efectos secundarios:
   • Descarga ficheros
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %SYSDIR%\cooper.mine



Crea los siguientes ficheros:

%SYSDIR%\user32.dll
%SYSDIR%\dllcache\user32.dll Detectado como: TR/Patched.gq.16

%SYSDIR%\nmklo.dll Detectado como: WORM/Pinit.MT

%SYSDIR%\h7t.wt
%SYSDIR%\ff4h.gy
%SYSDIR%\hgtd.ruy



Intenta descargar algunos ficheros:

La direccin es la siguiente:
   • silajopa.com/tpsa/gate/**********


La direccin es la siguiente:
   • silajopa.com/tpsa/gate/**********




Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\Wbem\wmic.exe
Ejecuta el fichero con los parmetros siguientes: path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

 Registro Aade las siguientes claves al registro:

[HKLM\Software\microsoft\Windows NT\CURRENTVERSION\WINDOWS]
   • "Appiaat_Dlls"="nmklo"

[HKLM\SOFTWARE\1]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="efipdhioiijnjpjcjmidigiggmgfgkgkhkhfcojedpemjgfcinfdff" "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

[HKLM\SOFTWARE\3]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="nqrckqqlqdrqrirprhqoqrqdopoinfnhmjmqrjrjlmmdmqrpmeqhmnng"
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

[HKLM\SOFTWARE\9]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="kgomncpjpnogoconproiodorqjqoqhqfrprgmlmlocrhrlqnogkrpcpipp"
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

[HKLM\SYSTEM\ControlSet001\Control\Terminal Server\Licensing Core]
   • "EnableConcurrentSessions"=dword:00000001



Modifica la siguiente clave del registro:

[HKLM\SYSTEM\ControlSet001\Control\Terminal Server]
   Nuevo valor:
   • "fDenyTSConnections"=dword:00000000

 Infeccin en la red Exploit:
Emplea la siguiente brecha de seguridad:
– MS04-011 (LSASS Vulnerability)

 Finalizacin de los procesos Listado de los procesos finalizados:
   • zlclient.exe
   • outpost.exe
   • avgcc.exe
   • kpf4ss.exe
   • kavpf.exe
   • mpfsrv.exe


 Backdoor (Puerta trasera) Abre el siguiente puerto:

svchost.exe en el puerto TCP 3389 para proporcionar capabilidades de backdoor.

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Alexandru Dinu el jueves 30 de septiembre de 2010
Descripción actualizada por Alexandru Dinu el jueves 30 de septiembre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.