¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Meredrop.A.12421
Descubierto:08/08/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:189.440 Bytes
Suma de control MD5:ada7ddfbc9abd5686fd8caa8a85b67d1
Versión del VDF:7.10.09.170
Versión del IVDF:7.10.10.104 - domingo, 8 de agosto de 2010

 General Método de propagación:
   • Red local


Alias:
   •  Mcafee: Downloader-CEW.a
   •  Kaspersky: Worm.Win32.Pinit.rl
   •  TrendMicro: TROJ_FAKEAV.SMZU
   •  Sophos: Mal/FakeAV-EI
   •  Avast: Win32:MalOb-BU
   •  Microsoft: Trojan:Win32/Meredrop
   •  Panda: W32/Pinit.M.worm
   •  PCTools: Trojan.FakeAV
   •  VirusBuster: Worm.Pinit.VN
   •  AhnLab: Trojan/Win32.FakeAV
   •  Authentium: W32/Trojan2.NCZZ
   •  Fortinet: W32/Pinit.EI!worm
   •  Ikarus: Worm.Win32.Pinit
   •  Norman: W32/Pinit.CD


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista


Efectos secundarios:
   • Descarga ficheros
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\cooper.mine



Crea los siguientes ficheros:

%SYSDIR%\user32.dll
%SYSDIR%\dllcache\user32.dll Detectado como: TR/Patched.gq.16

%SYSDIR%\nmklo.dll Detectado como: WORM/Pinit.MT

%SYSDIR%\h7t.wt
%SYSDIR%\ff4h.gy
%SYSDIR%\hgtd.ruy



Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • silajopa.com/tpsa/gate/**********


– La dirección es la siguiente:
   • silajopa.com/tpsa/gate/**********




Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • %SYSDIR%\Wbem\wmic.exe
Ejecuta el fichero con los parámetros siguientes: path win32_terminalservicesetting where (__Class!="") call setallowtsconnections 1

 Registro Añade las siguientes claves al registro:

– [HKLM\Software\microsoft\Windows NT\CURRENTVERSION\WINDOWS]
   • "Appiaat_Dlls"="nmklo"

– [HKLM\SOFTWARE\1]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="efipdhioiijnjpjcjmidigiggmgfgkgkhkhfcojedpemjgfcinfdff" "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

– [HKLM\SOFTWARE\3]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="nqrckqqlqdrqrirprhqoqrqdopoinfnhmjmqrjrjlmmdmqrpmeqhmnng"
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

– [HKLM\SOFTWARE\9]
   • "31AC70412E939D72A9234CDEBB1AF5867B"="kgomncpjpnogoconproiodorqjqoqhqfrprgmlmlocrhrlqnogkrpcpipp"
   • "31897356954C2CD3D41B221E3F24F99BBA"=dword:03f940aa
   • "31C2E1E4D78E6A11B88DFA803456A1FFA5"=dword:00000000

– [HKLM\SYSTEM\ControlSet001\Control\Terminal Server\Licensing Core]
   • "EnableConcurrentSessions"=dword:00000001



Modifica la siguiente clave del registro:

– [HKLM\SYSTEM\ControlSet001\Control\Terminal Server]
   Nuevo valor:
   • "fDenyTSConnections"=dword:00000000

 Infección en la red Exploit:
Emplea la siguiente brecha de seguridad:
– MS04-011 (LSASS Vulnerability)

 Finalización de los procesos Listado de los procesos finalizados:
   • zlclient.exe
   • outpost.exe
   • avgcc.exe
   • kpf4ss.exe
   • kavpf.exe
   • mpfsrv.exe


 Backdoor (Puerta trasera) Abre el siguiente puerto:

– svchost.exe en el puerto TCP 3389 para proporcionar capabilidades de backdoor.

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Alexandru Dinu el jueves, 30 de septiembre de 2010
Descripción actualizada por Alexandru Dinu el jueves, 30 de septiembre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.