¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:DR/Setty.O
Descubierto:22/12/2010
Tipo:Troyano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:1.963.643 Bytes
Suma de control MD5:459dedf5135d8d6eff5a08d62f328f5d
Versin del VDF:7.10.07.72
Versin del IVDF:7.11.00.144 - miércoles 22 de diciembre de 2010

 General Alias:
   •  Mcafee: Artemis!459DEDF5135D
   •  Kaspersky: Trojan-Dropper.Win32.StartPage.dvd
     AVG: Generic3_c.BNCJ


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros  Elimina los siguientes ficheros:
   • %PROGRAM FILES%\prgenerate\is-LGRJ3.tmp
   • %PROGRAM FILES%\prgenerate\is-L45BV.tmp
   • %PROGRAM FILES%\prgenerate\is-Q79BP.tmp



Crea los siguientes ficheros:

%WINDIR%\vistaw7\Config.ini
%WINDIR%\vistaw7\rd.txt
%WINDIR%\Condu.lnk Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

%PROGRAM FILES%\prgenerate\unins000.exe
%PROGRAM FILES%\prgenerate\Install.tmp
%WINDIR%\vistaw7\infofile.tmp
%WINDIR%\vistaw7\tuangou.ico
%PROGRAM FILES%\prgenerate\is-Q79BP.tmp
%WINDIR%\vistaw7\canyou.ucan
%PROGRAM FILES%\prgenerate\InstallDll.dll
%PROGRAM FILES%\prgenerate\unins000.dat
%WINDIR%\vistaw7\comrundu.ducc
%WINDIR%\vistaw7\taobao.ico
%PROGRAM FILES%\prgenerate\is-LGRJ3.tmp
%WINDIR%\vistaw7\Install.tmp
%PROGRAM FILES%\prgenerate\is-L45BV.tmp
%WINDIR%\vistaw7\nwinms.inn
%WINDIR%\vistaw7\honst.uic



Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\rundll32.exe" "%WINDIR%\vistaw7\comrundu.ducc" frmwind


Ejecuta uno de los ficheros siguientes:
   • "%SYSDIR%\rundll32.exe" "%WINDIR%\vistaw7\canyou.ucan" showme1


Ejecuta uno de los ficheros siguientes:
   • "%PROGRAM FILES%\Internet Explorer\IEXPLORE.EXE" -nohome

 Registro Aade las siguientes claves al registro:

[HKLM\SOFTWARE\Classes\uic\Shell\Open\Command]
   • "@"=""Rundll32.exe" "%WINDIR%\vistaw7\nwinms.inn" readfile"

[HKLM\SOFTWARE\Classes\.uic]
   • "@"="uic"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\
   {5E8C4B88-9431-4742-BC1F-8D70D7A89402}_is1]
   • "DisplayName"="3.1.0.2"
   • "Inno Setup: App Path"="%PROGRAM FILES%\prgenerate"
   • "Inno Setup: Icon Group"="prgenerate"
   • "Inno Setup: Setup Version"="5.2.3"
   • "Inno Setup: User"="Administrator"
   • "InstallDate"="20110509"
   • "InstallLocation"="%PROGRAM FILES%\prgenerate\"
   • "NoModify"=dword:0x00000001
   • "NoRepair"=dword:0x00000001
   • "QuietUninstallString"=""%PROGRAM FILES%\prgenerate\unins000.exe" /SILENT"
   • "UninstallString"=""%PROGRAM FILES%\prgenerate\unins000.exe""

[HKLM\SOFTWARE\Classes\uic\Shell\Open]
   • "@"=""



Modifica las siguientes claves del registro:

[HKCU\Software\Microsoft\Internet Explorer\Main]
   Nuevo valor:
   • "CompatibilityFlags"=dword:0x00000000
   • "FullScreen"="no"
   • "Window_Placement"=hex:2C,00,00,00,00,00,00,00,01,00,00,00,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,FF,8E,00,00,00,B1,00,00,00,AE,03,00,00,09,03,00,00

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
   Zones]
   Nuevo valor:
   • "SecuritySafe"=dword:0x00000001

[HKLM\SOFTWARE\Classes\TypeLib\
   {1EA4DBF0-3C3B-11CF-810C-00AA00389B71}\1.1\0\win32]
   Nuevo valor:
   • "@"="oleacc.dll"

 Informaciones diversas Accede a recursos de Internet:
   • http://www.34com.com/ppsr/Downsoft/**********
   • http://www.07783.com/ppsr/Downsoft/**********
   • http://www.34com.com:8080/**********?mac=%cadena de caracteres%&id=%nmero%
   • http://www.szc**********.com/
   • http://www.456t.com/**********

Descripción insertada por Petre Galan el lunes 9 de mayo de 2011
Descripción actualizada por Petre Galan el jueves 12 de mayo de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.