¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:WORM/Hamweq.DD.19
Descubierto:18/05/2011
Tipo:Gusano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:22.528 Bytes
Suma de control MD5:795FB0DBBE402E6CC83DFA88A6B34C6F
Versión del VDF:7.11.08.60 - miércoles, 18 de mayo de 2011
Versión del IVDF:7.11.08.60 - miércoles, 18 de mayo de 2011

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Symantec: Trojan.FakeAV!gen50
   •  Kaspersky: Trojan.Win32.FakeAv.bgyf
   •  TrendMicro: TROJ_FAKEAV.SMIH
   •  Sophos: Mal/FakeAV-EA


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %papelera de reciclaje%\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe



Crea el siguiente fichero:

%papelera de reciclaje%\S-1-5-21-0243556031-888888379-781863308-1343\Desktop.ini

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "sdjwe"="%papelera de reciclaje%\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe"



Añade las siguientes claves al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Taskman"="%papelera de reciclaje%\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe"

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe,%papelera de reciclaje%\S-1-5-21-0243556031-888888379-781863308-1343\jwjqa.exe"

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • tf18.tefgame.com:8800


 Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • explorer.exe


 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Ilie el martes, 7 de junio de 2011
Descripción actualizada por Andrei Ilie el martes, 21 de junio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.