¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Agent.184320
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:184.320 Bytes
Suma de control MD5:49537c2c00a30d749fc39e4dd141f04a

 General Mtodo de propagacin:
    Funcin de autoejecucin


Alias:
   •  Kaspersky: Trojan.Win32.Scar.durf
   •  F-Secure: Trojan.Win32.Scar.durf
   •  Bitdefender: Trojan.Generic.5783178
   •  Eset: Win32/Dorkbot.A
     GData: Trojan.Generic.5783178
     DrWeb: Trojan.DownLoader2.29396


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dainos
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %HOME%\Application Data\%cadena de caracteres%.exe
   • %disquetera%\RECYCLER\%cadena de caracteres%.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%




Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • %HOME%\Application Data\%cadena de caracteres%.exe

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%cadena de caracteres%"="%HOME%\Application Data\%cadena de caracteres%.exe"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: haso.duk**********.com
Puerto: 8888
Canal: #TeST-RouNd_03#
Apodo: n{US|XPa}%serie de caracteres aleatorios%

 Robo de informaciones Intenta robar las siguientes informaciones:
 Contraseas tipeadas en los campos de contraseas

Inicia una rutina de creacin de ficheros log despus de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • *officebanking.cl/*login.asp*
   • *.alertpay.*/*login.aspx
   • *.moneybookers.*/*login.pl
   • *runescape*/*weblogin*
   • *steampowered*/login*
   • *facebook.*/login.php*
   • *login.yahoo.*/*login*
   • *login.live.*/*post.srf*
   • *gmx.*/*FormLogin*
   • *fastmail.*/mail/*
   • *bigstring.*/*index.php*
   • *aol.*/*login.psp*
   • *google.*/*ServiceLoginAuth*
   • *paypal.*/webscr?cmd=_login-submit*

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

Se inserta en todos los procesos.


 Informaciones diversas Accede a recursos de Internet:
   • http://api.wip**********.com


Objeto mutex:
Crea los siguientes objetos mutex:
   • OgarD-Mutex
   • aciCty21CAjoSS8o

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el jueves 2 de junio de 2011
Descripción actualizada por Petre Galan el jueves 2 de junio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.