¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/VBKrypt.devc.1
Descubierto:03/06/2011
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Tamaño:49.152 Bytes
Suma de control MD5:CF2445B2C06AF8757BB5C598F85BB22E
Versión del VDF:7.11.08.254 - viernes, 3 de junio de 2011
Versión del IVDF:7.11.08.254 - viernes, 3 de junio de 2011

 General Método de propagación:
   • Correo electrónico
   • Al visitar sitios Web infectados


Alias:
   •  Symantec: W32.SillyIRC
   •  TrendMicro: WORM_NUSUMP.C
   •  Microsoft: Worm:Win32/Nusump


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Desactiva los programas de seguridad
   • Suelta ficheros
   • Modificaciones en el registro
   • Contiene su propio motor para generar mensajes de correo
   • Roba informaciones
   • Emplea vulnerabilidades de software

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %TEMPDIR%\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.



Crea el siguiente fichero:

%SYSDIR%\wbem\Logs\wbemprox.log Contiene parámetros empleados por el programa malicioso.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
   {254F4E25-A65F-2764-0003-070806050704}]
   • "StubPath"="%TEMPDIR%\%serie de caracteres aleatorios%.exe"

 Finalización de los procesos Listado de los procesos finalizados:
   • AvastSvc.exe
   • avgcsrvx.exe
   • avguard.exe
   • avgupd.exe
   • avp.exe
   • ccSvcHst.exe
   • ekrn.exe
   • mcupdate.exe
   • update.exe


 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • 200.58.119.**********:443

De esta forma, puede enviar informaciones y obtener el control remoto.

Envía informaciones acerca de:
    • Informaciones acerca del sistema operativo Windows


Capabilidades de control remoto:
    • Enviar mensajes de correo
    • Terminar proceso
    • Visitar un sitio web

 Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • explorer.exe

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Informaciones diversas Serie de caracteres:
Además, incluye las siguientes series de caracteres:
   • select * from moz_logins
   • \Mozilla\Firefox\

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Ilie el lunes, 1 de agosto de 2011
Descripción actualizada por Andrei Ilie el miércoles, 3 de agosto de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.