¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Spy.53248.681
Descubierto:11/11/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:53.248 Bytes
Suma de control MD5:1C886EABF2D5A89329CA4529DFA6BB21
Versin del VDF:7.10.06.78
Versin del IVDF:7.10.13.226 - jueves 11 de noviembre de 2010

 General Mtodo de propagacin:
    Funcin de autoejecucin


Alias:
   •  Mcafee: W32/IRCbot.worm
   •  Kaspersky: Trojan.Win32.Jorik.Lolbot.ip
   •  TrendMicro: WORM_SPYBOT.CEA
   •  F-Secure: Trojan.VB.Agent.HR
   •  Bitdefender: Trojan.VB.Agent.HR


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %APPDATA%\winlogon.exe
   • %disquetera%\driver\info\explorer.exe



Crea los siguientes ficheros:

%disquetera%\driver\info\Desktop.ini
%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

 Registro Aade uno de los siguientes valores a cada clave del registro, para ejecutar los procesos al reiniciar el sistema:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"



Aade la siguiente clave al registro:

[HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "Microsoft TrustGuard"="%APPDATA%\winlogon.exe"

 IRC  Adems puede efectuar las siguientes operaciones:
     conectarse al servidor IRC
     desconectarse del servidor IRC
    • Ingresar a un canal IRC
    • Salir del canal IRC

 Ficheros host El fichero host es modificado de la siguiente manera:

El acceso a los siguientes dominios est bloqueado:
   • avp.com
   • ca.com
   • dispatch.mcafee.com
   • etrust
   • jotti
   • kaspersky.com
   • liveupdate.symantecliveupdate.
   • mcafee.com
   • my-etrust.com
   • nai.com
   • nod32.com
   • norton
   • rads.mcafee.com
   • secure.nai.com
   • sophos.com
   • symantecliveupdate.com
   • trendmicro.com
   • updates.symantec.com
   • viruslist.com
   • te [virustotal.com
   • virusscan.jotti.org
   • us.mcafee.com
   • threatexpert
   • symantec.com
   • securityresponse.
   • pandasoftware
   • networkassociates
   • mast.mcafee.com
   • liveupdate.symantec.com
   • kaspersky-labs.com
   • grisoft
   • f-secure
   • download.mcafee.com
   • bitdefender.com
   • nai.


 Finalizacin de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • AntiVirus; ashWebSv; avgnt; avp.exe; bitdef; kaspersky; mcafee;
      mcshield; NOD32; symantec; viruslist; trendmicro; guard.exe; avgw.exe;
      avguard; ashDisp


 Informaciones diversas Tcnicas anti-debugging
Busca programas en ejecucin que incluyan una de las siguientes series de caracteres:
   • sandbox
   • nepenthes
   • wireshark
   • vmware


 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Andrei Ilie el viernes 18 de marzo de 2011
Descripción actualizada por Andrei Ilie el martes 22 de marzo de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.