¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/VBKrypt.dhzd
Descubierto:09/06/2011
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Tamao:536.064 Bytes
Suma de control MD5:737C8ADD80E92CA17FEEDB27E205189D
Versin del VDF:7.11.09.124 - jueves 9 de junio de 2011
Versin del IVDF:7.11.09.124 - jueves 9 de junio de 2011

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Mcafee: W32/Autorun.worm.h
   •  Kaspersky: Trojan.Win32.VBKrypt.dhzd
     Avast: Win32:VB-UXG [Trj]


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Server 2008


Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %APPDATA%\Adobee\Protect.exe
   • %APPDATA%\%nmero%.exe



Crea los siguientes ficheros:

%TEMPDIR%\ETpDS.bat Los anlisis adicionales indicaron que este fichero es tambin viral.
%APPDATA%\data.dat En este fichero se registran las pulsaciones de teclado.



Intenta ejecutar los ficheros siguientes:

Ejecuta uno de los ficheros siguientes:
   • REG
Ejecuta el fichero con los parmetros siguientes: ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "run32.exe" /t REG_SZ /d "%APPDATA%\Adobee\Protect.exe" /f


Ejecuta uno de los ficheros siguientes:
   • REG
Ejecuta el fichero con los parmetros siguientes: ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f ([32] %SYSDIR%\cmd.exe)


Ejecuta uno de los ficheros siguientes:
   • REG
Ejecuta el fichero con los parmetros siguientes: ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "C:\Documents and Settings\User101\Application Data\Adobee\Protect.exe" /t REG_SZ /d "C:\Documents and Settings\User101\Application Data\Adobee\Protect.exe:*:Enabled:Windows Messanger" /f ([33] %SYSDIR%\cmd.exe)


Ejecuta uno de los ficheros siguientes:
   • REG
Ejecuta el fichero con los parmetros siguientes: ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile /v "DoNotAllowExceptions" /t REG_DWORD /d "0" /f ([35] %SYSDIR%\cmd.exe)


Ejecuta uno de los ficheros siguientes:
   • REG
Ejecuta el fichero con los parmetros siguientes: ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "C:\Documents and Settings\User101\Application Data\3.exe" /t REG_SZ /d "C:\Documents and Settings\User101\Application Data\3.exe:*:Enabled:Windows Messanger" /f ([37] %SYSDIR%\cmd.exe)

 Registro Las siguientes claves del registro se encuentran en un bucle infinito, aadido para ejecutar los procesos al reiniciar el sistema.

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   run]
   • "Win Defender"="%APPDATA%\%nmero%.exe"

  [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "Win Defender"="%APPDATA%\%nmero%.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Win Defender"="%APPDATA%\%nmero%.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "run32.exe"="%APPDATA%\Adobee\Protect.exe"



Aade las siguientes claves al registro:

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000

[HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile\AuthorizedApplications\List]
   • "%APPDATA%\Adobee\Protect.exe"="%APPDATA%\Adobee\Protect.exe:*:Enabled:Windows Messanger"
   • "%APPDATA%\%nmero%.exe"="%APPDATA%\%nmero%.exe:*:Enabled:Windows Messanger"

 Backdoor (Puerta trasera) Abre el siguiente puerto:

svchost.exe en el puerto UDP 1033


Servidor contactado:
El siguiente:
   • xdanx3.no-ip.**********

De esta forma, puede enviar informaciones y obtener el control remoto.

Enva informaciones acerca de:
     Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
     Ejecutar ataque DDoS
     Iniciar la captura de pulsaciones de teclado

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

    Los siguientes procesos:
   • svchost.exe
   • explorer.exe


 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Andrei Ilie el lunes 1 de agosto de 2011
Descripción actualizada por Andrei Ilie el martes 2 de agosto de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.