¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Agent.77824
Descubierto:31/10/2006
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:77.824 Bytes
Suma de control MD5:3e6dc704fc07eecd9628c1bb3969ac56
Versin del VDF:6.36.00.198
Versin del IVDF:6.36.00.217 - martes 31 de octubre de 2006

 General Mtodo de propagacin:
    Funcin de autoejecucin


Alias:
   •  Kaspersky: Trojan.Win32.VBKrypt.cwnm
   •  Bitdefender: Trojan.Generic.6201582
     GData: Trojan.Generic.6201582
     DrWeb: Trojan.Siggen2.29349


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros dainos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %disquetera%\microsoft.exe
   • %HOME%\Application Data\scheb.exe



Sobrescribe un fichero.
%SYSDIR%\drivers\etc\hosts



Elimina el siguiente fichero:
   • %TEMPDIR%\fla7DXG8N.tmp



Crea los siguientes ficheros:

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

%TEMPDIR%\fla7DXG8N.tmp



Intenta ejecutar el siguiente fichero:

Ejecuta uno de los ficheros siguientes:
   • %HOME%\Application Data\scheb.exe

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update System"="%HOME%\Application Data\scheb.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Windows Update System"="%HOME%\Application Data\scheb.exe"



Crea la siguiente entrada para evitar el cortafuego de Windows XP:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "Windows Update System"="%HOME%\Application Data\scheb.exe"

 IRC Para enviar informaciones y proporcionar control remoto, se conecta al siguiente servidor IRC:

Servidor: minerva.cdm**********.org
Puerto: 6667
Canal: #spam#
Apodo: NEW[XX][XP]%nmero%

 Ficheros host El fichero host es modificado de la siguiente manera:

En este caso, las entradas existentes sern eliminadas.

El acceso a los siguientes dominios est bloqueado:
   • 127.0.0.1 www.virustotal.com
   • 127.0.0.1 www.pandasoftware.com
   • 127.0.0.1 www.norton.com
   • 127.0.0.1 www.nod32.com
   • 127.0.0.1 www.microsoft.com
   • 127.0.0.1 www.macafee.com
   • 127.0.0.1 www.kaspersky-labs.com
   • 127.0.0.1 www.hotmail.com
   • 127.0.0.1 www.download.mcafee.com
   • 127.0.0.1 pandasoftware.com
   • 127.0.0.1 norton.com
   • 127.0.0.1 nod32.com
   • 127.0.0.1 microsoft.com
   • 127.0.0.1 macafee.com
   • 127.0.0.1 bitdefender.com
   • 127.0.0.1 www.virusscan.jotti.org
   • 127.0.0.1 www.viruslist.com
   • 127.0.0.1 www.virscan.org
   • 127.0.0.1 www.trendmicro.com
   • 127.0.0.1 www.symantec.com
   • 127.0.0.1 www.sophos.com
   • 127.0.0.1 www.networkassociates.com
   • 127.0.0.1 www.nai.com
   • 127.0.0.1 www.my-etrust.com
   • 127.0.0.1 www.mcafee.com
   • 127.0.0.1 www.kaspersky.com
   • 127.0.0.1 www.grisoft.com
   • 127.0.0.1 www.f-secure.com
   • 127.0.0.1 www.ca.com
   • 127.0.0.1 www.avp.com
   • 127.0.0.1 virustotal.com
   • 127.0.0.1 virusscan.jotti.org
   • 127.0.0.1 viruslist.com
   • 127.0.0.1 virscan.org
   • 127.0.0.1 us.mcafee.com
   • 127.0.0.1 updates.symantec.com
   • 127.0.0.1 update.symantec.com
   • 127.0.0.1 trendmicro.com
   • 127.0.0.1 threatexpert.com
   • 127.0.0.1 symantec.com
   • 127.0.0.1 sophos.com
   • 127.0.0.1 securityresponse.symantec.com
   • 127.0.0.1 secure.nai.com
   • 127.0.0.1 scanner.novirusthanks.org
   • 127.0.0.1 rads.mcafee.com
   • 127.0.0.1 networkassociates.com
   • 127.0.0.1 nai.com
   • 127.0.0.1 my-etrust.com
   • 127.0.0.1 mcafee.com
   • 127.0.0.1 mast.mcafee.com
   • 127.0.0.1 liveupdate.symantecliveupdate.com
   • 127.0.0.1 liveupdate.symantec.com
   • 127.0.0.1 kaspersky.com
   • 127.0.0.1 kaspersky-labs.com
   • 127.0.0.1 f-secure.com
   • 127.0.0.1 download.mcafee.com
   • 127.0.0.1 dispatch.mcafee.com
   • 127.0.0.1 customer.symantec.com
   • 127.0.0.1 ca.com
   • 127.0.0.1 avp.com


 Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
   • TTKRJPJD6S8GJHGT68DDJSOMSDL

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Petre Galan el lunes 18 de julio de 2011
Descripción actualizada por Petre Galan el lunes 18 de julio de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.