¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Spy.53248.681
Descubierto:11/11/2010
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:53.248 Bytes
Suma de control MD5:1C886EABF2D5A89329CA4529DFA6BB21
Versión del VDF:7.10.06.78
Versión del IVDF:7.10.13.226 - jueves, 11 de noviembre de 2010

 General Método de propagación:
   • Función de autoejecución


Alias:
   •  Mcafee: W32/IRCbot.worm
   •  Kaspersky: Trojan.Win32.Jorik.Lolbot.ip
   •  TrendMicro: WORM_SPYBOT.CEA
   •  F-Secure: Trojan.VB.Agent.HR
   •  Bitdefender: Trojan.VB.Agent.HR


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %APPDATA%\winlogon.exe
   • %disquetera%\driver\info\explorer.exe



Crea los siguientes ficheros:

%disquetera%\driver\info\Desktop.ini
%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

 Registro Añade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"



Añade la siguiente clave al registro:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

 IRC – Además puede efectuar las siguientes operaciones:
    • conectarse al servidor IRC
    • desconectarse del servidor IRC
    • Ingresar a un canal IRC
    • Salir del canal IRC

 Ficheros host El fichero host es modificado de la siguiente manera:

– El acceso a los siguientes dominios está bloqueado:
   • avp.com
   • ca.com
   • dispatch.mcafee.com
   • etrust
   • jotti
   • kaspersky.com
   • liveupdate.symantecliveupdate.
   • mcafee.com
   • my-etrust.com
   • nai.com
   • nod32.com
   • norton
   • rads.mcafee.com
   • secure.nai.com
   • sophos.com
   • symantecliveupdate.com
   • trendmicro.com
   • updates.symantec.com
   • viruslist.com
   • te [virustotal.com
   • virusscan.jotti.org
   • us.mcafee.com
   • threatexpert
   • symantec.com
   • securityresponse.
   • pandasoftware
   • networkassociates
   • mast.mcafee.com
   • liveupdate.symantec.com
   • kaspersky-labs.com
   • grisoft
   • f-secure
   • download.mcafee.com
   • bitdefender.com
   • nai.


 Finalización de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • AntiVirus; ashWebSv; avgnt; avp.exe; bitdef; kaspersky; mcafee;
      mcshield; NOD32; symantec; viruslist; trendmicro; guard.exe; avgw.exe;
      avguard; ashDisp


 Informaciones diversas Técnicas anti-debugging
Busca programas en ejecución que incluyan una de las siguientes series de caracteres:
   • sandbox
   • nepenthes
   • wireshark
   • vmware


 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Andrei Ilie el viernes, 18 de marzo de 2011
Descripción actualizada por Andrei Ilie el martes, 22 de marzo de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.