¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Drop.TDss.akfb
Descubierto:22/04/2011
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-alto
Potencial dañino:Medio-bajo
Tamaño:58.888 Bytes
Suma de control MD5:60184EE7316CFC9F734CF9713FD76361
Versión del VDF:7.11.06.232 - viernes, 22 de abril de 2011
Versión del IVDF:7.11.06.232 - viernes, 22 de abril de 2011

 General Método de propagación:
   • Función de autoejecución
   • Unidades de red mapeadas


Alias:
   •  Symantec: W32.SillyFDC
   •  Kaspersky: Trojan-Dropper.Win32.TDSS.akfb
   •  TrendMicro: TROJ_KRYPTO.SMII
   •  Microsoft: Worm:Win32/Rorpian


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efectos secundarios:
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Elimina la copia inicial del virus.



Crea los siguientes ficheros:

%TEMPDIR%\srv%número hexadecimal%.tmp Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Drop.TDss.akfb

%TEMPDIR%\srv%número hexadecimal%.ini Contiene parámetros empleados por el programa malicioso.



Intenta descargar un fichero:

– La dirección es la siguiente:
   • http://web-soft2011pc.**********/soft/installer_m_161.exe
El fichero está guardado en el disco duro en: %TEMPDIR%\%número%.tmp Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\ControlSet001\Services\
   srv%número hexadecimal%]
   • "Type"=dword:00000014
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="%systemroot%\system32\svchost.exe -k netsvcs"
   • "DisplayName"="srv%número hexadecimal%"
   • "ObjectName"="LocalSystem"



Añade la siguiente clave al registro:

– [HKLM\SYSTEM\ControlSet001\Services\srv%número hexadecimal%\
   parameters]
   • "servicedll"="\\?\globalroot\Device\HarddiskVolume1\Documents and Settings\%nombre del usuario actual%\Local Settings\Temp\srv%número hexadecimal%.tmp"

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Andrei Ilie el lunes, 1 de agosto de 2011
Descripción actualizada por Andrei Ilie el miércoles, 3 de agosto de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.