¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Spy.SpyEyes.eic
Descubierto:10/01/2011
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:294.912 Bytes
Suma de control MD5:a17ee10abdaf0c5c34abb551dab340b5
Versin del VDF:7.10.07.173
Versin del IVDF:7.11.01.60 - lunes 10 de enero de 2011

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Trojan-Spy.Win32.SpyEyes.eic
   •  F-Secure: Trojan-Spy.Win32.SpyEyes.eic
     Microsoft: Win32/EyeStye.H
   •  Eset: Win32/Spy.SpyEye.CA
     DrWeb: BackDoor.Spy.706


Plataformas / Sistemas operativos:
   • Windows NT
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efectos secundarios:
   • Suelta un fichero
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %disquetera%\portwexexe\portwexexe.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%disquetera%\portwexexe\config.bin

 Registro Aade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

  HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
   • "portwexexe.exe"="%disquetera%\portwexexe\portwexexe.exe"



Aade las siguientes claves al registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\0
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\1
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\2
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\3
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones\4
   • "1409"=dword:00000003
   • "1609"=dword:00000000
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\1
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\2
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\3
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Lockdown_Zones\4
   • "1406"=dword:00000000

HKCU\Software\Microsoft\Internet Explorer\PhishingFilter
   • "EnabledV8"=dword:00000000
   • "ShownServiceDownBalloon"=dword:00000000

[HKCU\Software\Microsoft\Internet Explorer\Recovery]
   • "ClearBrowsingHistoryOnExit"=dword:00000000

HKCU\Software\Microsoft\Internet Explorer\DBControl


Modifica la siguiente clave del registro:

Reduce las opciones de seguridad de Internet Explorer:

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   Valor anterior:
   • "EnableHttp1_1"=%configuracin definida por el usuario%
   • "ProxyHttp1.1"=%configuracin definida por el usuario%
   • "WarnOnPost"=%configuracin definida por el usuario%
   • "WarnOnPostRedirect"=%configuracin definida por el usuario%
   • "WarnOnIntranet"=%configuracin definida por el usuario%
   • "GlobalUserOffline"=%configuracin definida por el usuario%
   Nuevo valor:
   • "EnableHttp1_1"=dword:00000001
   • "ProxyHttp1.1"=dword:00000001
   • "WarnOnPost"=hex:00,00,00,00
   • "WarnOnPostRedirect"=dword:00000000
   • "WarnOnIntranet"=dword:00000000
   • "GlobalUserOffline"=dword:00000000

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://soundpong.com/ahjsda65sda/**********guid=%cadena de caracteres%&ver=%nmero%&stat=%cadena de caracteres%&ie=6.0.2900.2180&os=%nmero%&ut=%cadena de caracteres%&plg=%cadena de caracteres%&ccrc=%nmero%&md5=%cadena de caracteres%



Enva informaciones acerca de:
    • Nombre del ordenador
     Usuario actual
     Estado actual del programa viral
     Nombre de usuario
     Informaciones acerca del sistema operativo Windows

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

    Nombre del proceso:
   • explorer.exe


 Informaciones diversas  Para buscar una conexin a Internet, contacta el siguiente sitio web:
   • http://www.microsoft.com

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX


Codificacin:
Codificado: el cdigo del virus dentro del archivo est codificado.

Descripción insertada por Ana Maria Niculescu el viernes 25 de febrero de 2011
Descripción actualizada por Ana Maria Niculescu el jueves 3 de marzo de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.