¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/VB.Inject.GJ.1
Descubierto:11/06/2010
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:163.840 Bytes
Suma de control MD5:e886a4d9b9909639f95a48872c5dbc07
Versin del VDF:7.10.03.126
Versin del IVDF:7.10.08.59 - viernes 11 de junio de 2010

 General Mtodos de propagacin:
    Funcin de autoejecucin
    Messenger


Alias:
   •  Kaspersky: Backdoor.Win32.Ruskill.ce
   •  F-Secure: Worm.Generic.327325
   •  Bitdefender: Worm.Generic.327325
     GData: Worm.Generic.327325


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dainos
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %disquetera%\RECYCLER\Rytstj.exe
   • %HOME%\Application Data\Rytstj.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%




Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • %HOME%\Application Data\Rytstj.exe

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Rytstj"="%HOME%\Application Data\Rytstj.exe"



Elimina del registro de Windows el valor de la siguiente clave:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • internat.exe

 Messenger Se propaga por Messenger. Sus caractersticas estn descritas a continuacin:

 Windows Messenger

La URL remite a una copia del program malicioso descrito. Si el usuario descarga y ejecuta este fichero, el proceso de infeccin volver a iniciarse.

 IRC Para enviar informaciones y para proporcionar control remoto, se conecta a los siguientes servidores IRC:

Servidor: thi**********.info
Puerto: 1863
Canal: #80t35ref
Apodo: n{EN|XPa}%serie de caracteres aleatorios%

Servidor: thi**********.info
Puerto: 1863
Canal: #80t35ref
Apodo: {EN|XPa}%serie de caracteres aleatorios%

 Robo de informaciones Intenta robar las siguientes informaciones:
 Contraseas tipeadas en los campos de contraseas

Inicia una rutina de creacin de ficheros log despus de visitar un sitio web que contiene las siguientes subseries de caracteres en su URL:
   • *members*.iknowthatgirl*/members*; *members.brazzers.com*;
      *bcointernacional*login*; *:2086/login*; *webnames.ru/*user_login*;
      *dotster.com/*login*; *enom.com/login*; *1and1.com/xml/config*;
      *moniker.com/*Login*; *namecheap.com/*login*; *godaddy.com/login*;
      *alertpay.com/login*; *netflix.com/*ogin*; *thepiratebay.org/login*;
      *torrentleech.org/*login*; *vip-file.com/*/signin-do*;
      *sms4file.com/*/signin-do*; *letitbit.net*; *what.cd/login*;
      *oron.com/login*; *filesonic.com/*login*; *speedyshare.com/login*;
      *uploaded.to/*login*; *uploading.com/*login*; *fileserv.com/login*;
      *hotfile.com/login*; *4shared.com/login*; *netload.in/index*;
      *freakshare.com/login*; *mediafire.com/*login*; *sendspace.com/login*;
      *megaupload.*/*login*; *depositfiles.*/*/login*; *signin.ebay*SignIn;
      *officebanking.cl/*login.asp*; *secure.logmein.*/*logincheck*;
      *twitter.com/sessions; *.moneybookers.*/*login.pl;
      *runescape*/*weblogin*; *dyndns*/account*; *no-ip*/login*;
      *steampowered*/login*; *hackforums.*/member.php;
      *facebook.*/login.php*; *login.yahoo.*/*login*;
      *login.live.*/*post.srf*; *gmx.*/*FormLogin*; *fastmail.*/mail/*;
      *bigstring.*/*index.php*; *screenname.aol.*/login.psp*;
      *aol.*/*login.psp*; *google.*/*ServiceLoginAuth*;
      *paypal.*/webscr?cmd=_login-submit*

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

Se inserta en todos los procesos.


 Informaciones diversas Accede a recursos de Internet:
   • http://api.wip**********.com/

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el miércoles 6 de julio de 2011
Descripción actualizada por Petre Galan el miércoles 6 de julio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.