¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:ADWARE/Agent.Gabaecb
Descubierto:13/03/2011
Tipo:Adware
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:603.208 Bytes
Suma de control MD5:EA92F34BDDA3BFABEFDD8B19D883DB09
Versión del VDF:7.10.09.164
Versión del IVDF:7.11.04.178 - domingo, 13 de marzo de 2011

 General Método de propagación:
   • No tiene rutina propia de propagación


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Descarga ficheros
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro

 Ficheros Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://clients.network**********.com/./data/configs_micro_by_network/1306/DE/config.cfg.a2c1a372d9b77e884342add81a460b8f
El fichero está guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\config.cfg.%valores hex%

– La dirección es la siguiente:
   • http://clients.network**********.com/./data/configs_micro_by_network/1306/DE/config.cfg.a2c1a372d9b77e884342add81a460b8f
El fichero está guardado en el disco duro en: %directorio donde se ejecuta el programa viral%\config.cfg

 Registro Añade la siguiente clave al registro:

– [HKCU\Software\GabPath]
   • "%serie de caracteres aleatorios%"=%valores hex%
   • "%serie de caracteres aleatorios%"=%valores hex%
   • "%serie de caracteres aleatorios%"=%valores hex%



Modifica las siguientes claves del registro:

Reduce las opciones de seguridad de Internet Explorer:

– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
   Nuevo valor:
   • "MigrateProxy"=dword:00000001
   • "ProxyEnable"=dword:00000000
   • "ProxyServer"=-
   • "ProxyOverride"=-
   • "AutoConfigURL"=-

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   ZoneMap]
   Nuevo valor:
   • "ProxyBypass"=dword:00000001
   • "IntranetName"=dword:00000001
   • "UNCAsIntranet"=dword:00000001

– [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\
   Internet Settings]
   Nuevo valor:
   • "ProxyEnable"=dword:00000000

 Informaciones diversas Conexión a Internet:

Hace interrogaciones para el nombre:
   • clients.network**********.com
Accede a recursos de Internet:
   • http://clients.network**********.com/cfg.php

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Fecha de la compilación:
Fecha: 10/03/2011
Hora: 21:57:41

Descripción insertada por Alexander Bauer el martes, 15 de marzo de 2011
Descripción actualizada por Alexander Bauer el martes, 15 de marzo de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.