¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Kazy.24732.12
Descubierto:30/05/2011
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:185.856 Bytes
Suma de control MD5:137d614bcab51797b4be6b6cac0016b6
Versión del IVDF:7.11.08.168 - lunes, 30 de mayo de 2011

 General Alias:
   •  Bitdefender: Trojan.Downloader.JOID
   •  GData: Trojan.Downloader.JOID


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero dañino
   • Suelta ficheros dañinos
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %HOME%\Application Data\dwm.exe



Elimina los siguientes ficheros:
   • %TEMPDIR%\4.exe
   • %TEMPDIR%\5.exe



Crea los siguientes ficheros:

%TEMPDIR%\4.exe
%TEMPDIR%\csrss.exe
– %HOME%\Application Data\01E2.543
– %HOME%\Application Data\Microsoft\conhost.exe
%TEMPDIR%\5.exe



Intenta descargar un fichero:

– Las direcciones son las siguientes:
   • http://separatemilkandtee.com/blog/images/**********?v37=%número%&tq=%cadena de caracteres%
   • http://highspeeddbsearch.com/blog/images/**********?v46=%número%&tq=%cadena de caracteres%




Intenta ejecutar los ficheros siguientes:

– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\4.exe check


– Ejecuta uno de los ficheros siguientes:
   • %HOME%\Application Data\Microsoft\conhost.exe


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\5.exe check


– Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\csrss.exe

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe,%HOME%\Application Data\dwm.exe"

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "conhost"="%HOME%\Application Data\Microsoft\conhost.exe"



Modifica la siguiente clave del registro:

– [HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuevo valor:
   • "Load"="%TEMPDIR%\csrss.exe"

 Informaciones diversas  Para buscar una conexión a Internet, contacta el siguiente sitio web:
   • http://www.google.com
Accede a recursos de Internet:
   • http://healthylifenow.com/templates/7349/images/**********?v78=%número%&tq=%cadena de caracteres%
   • http://zonedg.com/**********?tq=%cadena de caracteres%
   • http://gravatar.com/**********?gravatar_id=%cadena de caracteres%&tq=%cadena de caracteres%
   • http://nationsautoelectric.com/images/**********?v44=%número%&tq=%cadena de caracteres%
   • http://xprstats.com/images/**********?tq=%cadena de caracteres%
   • http://freetopmusiconline.com/blog/images/**********?v67=%número%&tq=%cadena de caracteres%
   • http://freetopmusiconline.com/blog/images/**********?v55=%número%&tq=%cadena de caracteres%
   • http://freetopmusiconline.com/blog/images/**********?v67=%número%&tq=%cadena de caracteres%


Objeto mutex:
Crea los siguientes objetos mutex:
   • {1ACD3490-8843-47EB-867B-EDDDD7FA37FD}
   • CH5B35993-9674-43cd-8AC7-5BC5013E617B}
   • {B16C7E24-B3B8-4962-BF5E-4B33FD2DFE78}
   • {4D92BB9F-9A66-458f-ACA4-66172A7016D4}
   • {45BCA615-C82A-4152-8857-BCC626AE4C8D}
   • {B5B35993-9674-43cd-8AC7-5BC5013E617B}
   • {B37C48AF-B05C-4520-8B38-2FE181D5DC78}
   • {35BCA615-C82A-4152-8857-BCC626AE4C8D}
   • {0ECE180F-6E9E-4FA6-A154-6876D9DB8906}
   • {A5B35993-9674-43cd-8AC7-5BC5013E617B}
   • {5D92BB9F-9A66-458f-ACA4-66172A7016D4}
   • {61B98B86-5F44-42b3-BCA1-33904B067B81}
   • CHD92BB9F-9A66-458f-ACA4-66172A7016D4}

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Petre Galan el jueves, 30 de junio de 2011
Descripción actualizada por Petre Galan el jueves, 30 de junio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.