¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Agent.270336
Descubierto:14/07/2006
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:266.752 Bytes
Suma de control MD5:3cd19c2520fa9a8682b81a13a04eba86
Versin del VDF:6.35.00.165
Versin del IVDF:6.35.00.204 - lunes 24 de julio de 2006

 General Mtodos de propagacin:
    Funcin de autoejecucin
    Messenger


Alias:
   •  Kaspersky: Trojan.Win32.VBKrypt.dacu
   •  Bitdefender: Trojan.Generic.KDV.226302
     GData: Trojan.Generic.KDV.226302


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dainos
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %HOME%\Application Data\Nazkzx.exe
   • %disquetera%\RECYCLER\Nazkzx.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%




Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • %HOME%\Application Data\Nazkzx.exe

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Nazkzx"="%HOME%\Application Data\Nazkzx.exe"

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

 Windows Messenger

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infeccin volver a iniciarse.

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: server.act**********.com
Puerto: 1038
Canal: #start
Apodo: n{EN|XPa}%serie de caracteres aleatorios%

 Robo de informaciones Intenta robar las siguientes informaciones:
 Contraseas tipeadas en los campos de contraseas

Inicia una rutina de creacin de ficheros log despus de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • *officebanking.cl/*login.asp*; *secure.logmein.*/*logincheck*;
      *megaupload.*/*login; *fileserve.*/login*; *twitter.com/sessions;
      *.alertpay.*/*login.aspx; *.moneybookers.*/*login.pl;
      *runescape*/*weblogin*; *dyndns*/account*; *no-ip*/login*;
      *steampowered*/login*; *hackforums.*/member.php;
      *facebook.*/login.php*; *login.yahoo.*/*login*;
      *login.live.*/*post.srf*; *gmx.*/*FormLogin*; *fastmail.*/mail/*;
      *bigstring.*/*index.php*; *screenname.aol.*/login.psp*;
      *aol.*/*login.psp*; *google.*/*ServiceLoginAuth*;
      *paypal.*/webscr?cmd=_login-submit*

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

Se inserta en todos los procesos.


 Informaciones diversas Accede a recursos de Internet:
   • http://api.wip**********.com/


Objeto mutex:
Crea el siguiente objeto mutex:
   • fgeZ0Yo8573aR2XE

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el martes 5 de julio de 2011
Descripción actualizada por Petre Galan el martes 5 de julio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.