¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Scar.cfmv
Descubierto:30/05/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:575.488 Bytes
Suma de control MD5:65feb504a274110a513dce6d1b6a640d
Versión del IVDF:7.10.07.196 - domingo, 30 de mayo de 2010

 General Método de propagación:
   • Función de autoejecución


Alias:
   •  Bitdefender: Trojan.Generic.4010642
   •  Panda: Trj/Thed.V


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga ficheros dañinos
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %disquetera%\%ficheros ejecutados%
   • %ALLUSERSPROFILE%\Application Data\srtserv\%ficheros ejecutados%



Crea los siguientes ficheros:

%disquetera%\aUtoRuN.iNF Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

– %ALLUSERSPROFILE%\Application Data\srtserv\sdata.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: Worm/Autorun.hdf

– %ALLUSERSPROFILE%\Application Data\srtserv\set.dat



Intenta descargar algunos ficheros:

– Las direcciones son las siguientes:
   • http://psynergi.dk/data/**********
   • http://kubusse.ru/data/**********
   • http://s-elisa.ru/data/**********
   • http://eda.ru/data/**********


– Las direcciones son las siguientes:
   • http://vesterm.freehostia.com/**********
   • http://6cb498fe.freehostia.com/**********
   • http://c7e1c722.110mb.com/**********
   • http://ef1b7dc6.x10hosting.com/**********




Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • "%ALLUSERSPROFILE%\Application Data\srtserv\%ficheros ejecutados%" -wait

 Registro Elimina del registro de Windows los valores de las siguientes claves:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • srtserv

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • srtserv



Añade la siguiente clave al registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\MSrtn]
   • "value1"="%ficheros ejecutados%"
   • "value2"=dword:0x000007d4

 Informaciones diversas    • http://vesterm.freehostia.com
   • http://psynergi.dk/data
   • http://kubusse.ru/data
   • http://s-elisa.ru/data
   • http://eda.ru/data
   • http://psynergi.dk/data
   • http://pushnik.freehostia.com


Objeto mutex:
Crea los siguientes objetos mutex:
   • YCS0mRtQ316
   • KAENA_HOOK

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el viernes, 19 de noviembre de 2010
Descripción actualizada por Petre Galan el viernes, 19 de noviembre de 2010

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.