¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Kazy.24732.12
Descubierto:30/05/2011
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Bajo
Potencial daino:Medio-bajo
Fichero esttico:S
Tamao:185.856 Bytes
Suma de control MD5:137d614bcab51797b4be6b6cac0016b6
Versin del IVDF:7.11.08.168 - lunes 30 de mayo de 2011

 General Alias:
   •  Bitdefender: Trojan.Downloader.JOID
     GData: Trojan.Downloader.JOID


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Descarga un fichero daino
   • Suelta ficheros dainos
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %HOME%\Application Data\dwm.exe



Elimina los siguientes ficheros:
   • %TEMPDIR%\4.exe
   • %TEMPDIR%\5.exe



Crea los siguientes ficheros:

%TEMPDIR%\4.exe
%TEMPDIR%\csrss.exe
%HOME%\Application Data\01E2.543
%HOME%\Application Data\Microsoft\conhost.exe
%TEMPDIR%\5.exe



Intenta descargar un fichero:

Las direcciones son las siguientes:
   • http://separatemilkandtee.com/blog/images/**********?v37=%nmero%&tq=%cadena de caracteres%
   • http://highspeeddbsearch.com/blog/images/**********?v46=%nmero%&tq=%cadena de caracteres%




Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\4.exe check


Ejecuta uno de los ficheros siguientes:
   • %HOME%\Application Data\Microsoft\conhost.exe


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\5.exe check


Ejecuta uno de los ficheros siguientes:
   • %TEMPDIR%\csrss.exe

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "Shell"="explorer.exe,%HOME%\Application Data\dwm.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "conhost"="%HOME%\Application Data\Microsoft\conhost.exe"



Modifica la siguiente clave del registro:

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows]
   Nuevo valor:
   • "Load"="%TEMPDIR%\csrss.exe"

 Informaciones diversas  Para buscar una conexin a Internet, contacta el siguiente sitio web:
   • http://www.google.com
Accede a recursos de Internet:
   • http://healthylifenow.com/templates/7349/images/**********?v78=%nmero%&tq=%cadena de caracteres%
   • http://zonedg.com/**********?tq=%cadena de caracteres%
   • http://gravatar.com/**********?gravatar_id=%cadena de caracteres%&tq=%cadena de caracteres%
   • http://nationsautoelectric.com/images/**********?v44=%nmero%&tq=%cadena de caracteres%
   • http://xprstats.com/images/**********?tq=%cadena de caracteres%
   • http://freetopmusiconline.com/blog/images/**********?v67=%nmero%&tq=%cadena de caracteres%
   • http://freetopmusiconline.com/blog/images/**********?v55=%nmero%&tq=%cadena de caracteres%
   • http://freetopmusiconline.com/blog/images/**********?v67=%nmero%&tq=%cadena de caracteres%


Objeto mutex:
Crea los siguientes objetos mutex:
   • {1ACD3490-8843-47EB-867B-EDDDD7FA37FD}
   • CH5B35993-9674-43cd-8AC7-5BC5013E617B}
   • {B16C7E24-B3B8-4962-BF5E-4B33FD2DFE78}
   • {4D92BB9F-9A66-458f-ACA4-66172A7016D4}
   • {45BCA615-C82A-4152-8857-BCC626AE4C8D}
   • {B5B35993-9674-43cd-8AC7-5BC5013E617B}
   • {B37C48AF-B05C-4520-8B38-2FE181D5DC78}
   • {35BCA615-C82A-4152-8857-BCC626AE4C8D}
   • {0ECE180F-6E9E-4FA6-A154-6876D9DB8906}
   • {A5B35993-9674-43cd-8AC7-5BC5013E617B}
   • {5D92BB9F-9A66-458f-ACA4-66172A7016D4}
   • {61B98B86-5F44-42b3-BCA1-33904B067B81}
   • CHD92BB9F-9A66-458f-ACA4-66172A7016D4}

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el jueves 30 de junio de 2011
Descripción actualizada por Petre Galan el jueves 30 de junio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.