Descripción completa

Nombre:	TR/Kazy.331776
Descubierto:	20/05/2011
Tipo:	Troyano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio-bajo
Fichero estático:	Sí
Tamaño:	331.776 Bytes
Suma de control MD5:	25601D8D71A9C410F6C29AF2BF8DD027
Versión del VDF:	7.11.08.85 - viernes, 20 de mayo de 2011
Versión del IVDF:	7.11.08.85 - viernes, 20 de mayo de 2011

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • TrendMicro: TROJ_FAKEAL.SMQP
   • Sophos: Mal/FakeAV-JR
   • Microsoft: Rogue:Win32/FakeRean

Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7

Efectos secundarios:
   • Bloquea el acceso a portales de seguridad
   • Suelta ficheros
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Inmediatamente después de su ejecución, muestra la siguiente información:

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios%.exe

Elimina la copia inicial del virus.

Crea los siguientes ficheros:

– %TEMPDIR%\%serie de caracteres aleatorios%
– %ALLUSERSPROFILE%\Application Data\%serie de caracteres aleatorios%
– %HOME%\Local Settings\Application Data\%serie de caracteres aleatorios%
– %TEMPDIR%\%serie de caracteres aleatorios%
– %HOME%\Templates\%serie de caracteres aleatorios%

Registro Añade las siguientes claves al registro:

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\StandardProfile]
   • "DoNotAllowExceptions"=dword:00000000
   • "EnableFirewall"=dword:00000000
   • "DisableNotifications"=dword:00000001

– [HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
   FirewallPolicy\DomainProfile]
   • "EnableFirewall"=dword:00000000
   • "DoNotAllowExceptions"=dword:00000000
   • "DisableNotifications"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "ctfmon.exe"="%SYSDIR%\ctfmon.exe"

– [HKCR\.exe\shell\open\command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\\%serie de caracteres aleatorios%.exe\" -a \"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

– [HKCR\exefile\shell\open\command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\\%serie de caracteres aleatorios%.exe\" -a \"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

– [HKCR\exefile\shell\runas\command]
   • "(Default)"="\"%1\" %*"
   • "IsolatedCommand"="\"%1\" %*"

– [HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\
   command]
   • "(Default)"="\"%HOME%\Local Settings\Application Data\\%serie de caracteres aleatorios%.exe\" -a \"%PROGRAM FILES%\Intern"

Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Security Center]
   Nuevo valor:
   • "AntiVirusDisableNotify"=dword:00000001
   • "FirewallDisableNotify"=dword:00000001
   • "FirewallOverride"=dword:00000001
   • "UpdatesDisableNotify"=dword:00000001
   • "AntiVirusOverride"=dword:00000001

Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

Nombre del proceso:
• iexplore.exe

Informaciones diversas Accede a recursos de Internet:
   • **********ihudamaqyr.com/%varios dígitos aleatorios%;
      **********adovykavo.com/%varios dígitos aleatorios%;
      **********ehukalyna.com/%varios dígitos aleatorios%;
      **********yrizyp.com/%varios dígitos aleatorios%;
      **********ovajisem.com/%varios dígitos aleatorios%;
      **********erecus.com/%varios dígitos aleatorios%;
      **********yzykuboqo.com/%varios dígitos aleatorios%;
      **********otarohoc.com/%varios dígitos aleatorios%;
      **********ynefusawi.com/%varios dígitos aleatorios%;
      **********ehujosyp.com/%varios dígitos aleatorios%;
      **********anipuw.com/%varios dígitos aleatorios%;
      **********agexyz.com/%varios dígitos aleatorios%;
      **********ebenirahu.com/%varios dígitos aleatorios%;
      **********ukopomiva.com/%varios dígitos aleatorios%;
      **********ireracy.com/%varios dígitos aleatorios%;
      **********anatapum.com/%varios dígitos aleatorios%;
      **********support-2011.com/%varios dígitos aleatorios%;
      **********mium-support2011.com/%varios dígitos
      aleatorios%; **********upport-2011.com/%varios dígitos
      aleatorios%; **********ivirussupport2011.com/%varios
      dígitos aleatorios%;
      **********ivirus-support2011.com/%varios dígitos
      aleatorios%; **********support2011.com/%varios dígitos
      aleatorios%; **********upport2011.com/%varios dígitos
      aleatorios%; **********hukyq.com/%varios dígitos
      aleatorios%; **********cewyfyxut.com/%varios dígitos
      aleatorios%; **********walulas.com/%varios dígitos
      aleatorios%; **********mokowe.com/%varios dígitos
      aleatorios%; **********okowe.com/%varios dígitos
      aleatorios%; **********okowe.com/%varios dígitos
      aleatorios%; **********okowe.com/%varios dígitos
      aleatorios%; **********ilezavyxiro.com/%varios dígitos
      aleatorios%; **********ovatywo.com/%varios dígitos
      aleatorios%; **********akidukojoz.com/%varios dígitos
      aleatorios%; **********agyjaj.com/%varios dígitos
      aleatorios%; **********ojafadezy.com/%varios dígitos
      aleatorios%; **********evaviqopoci.com/%varios dígitos
      aleatorios%; **********otyger.com/%varios dígitos
      aleatorios%; **********afiduzipame.com/%varios dígitos
      aleatorios%; **********ojewedowigo.com/%varios dígitos
      aleatorios%; **********yxepomer.com/%varios dígitos
      aleatorios%; **********ahanybyvu.com/%varios dígitos
      aleatorios%; **********akydugudi.com/%varios dígitos
      aleatorios%; **********ugypenihyf.com/%varios dígitos
      aleatorios%; **********ybobik.com/%varios dígitos
      aleatorios%; **********okatahinery.com/%varios dígitos
      aleatorios%; **********icaraso.com/%varios dígitos
      aleatorios%; **********osahule.com/%varios dígitos
      aleatorios%; **********uzajylot.com/%varios dígitos
      aleatorios%; **********onevetode.com/%varios dígitos
      aleatorios%; **********atesomyz.com/%varios dígitos
      aleatorios%; **********ofymela.com/%varios dígitos
      aleatorios%; **********uponip.com/%varios dígitos
      aleatorios%; **********ovasuced.com/%varios dígitos
      aleatorios%; **********oduhisegu.com/%varios dígitos
      aleatorios%; **********editacif.com/%varios dígitos
      aleatorios%; **********emehypuq.com/%varios dígitos
      aleatorios%; **********yxaqunowy.com/%varios dígitos
      aleatorios%; **********ovexidysopy.com/%varios dígitos
      aleatorios%; **********ecebyt.com/%varios dígitos
      aleatorios%; **********esexyzobuz.com/%varios dígitos
      aleatorios%; **********ijinymut.com/%varios dígitos
      aleatorios%; **********evanyxora.com/%varios dígitos
      aleatorios%; **********ixydyf.com/%varios dígitos
      aleatorios%; **********usaseda.com/%varios dígitos
      aleatorios%; **********udizoni.com/%varios dígitos
      aleatorios%; **********ejutyhyfu.com/%varios dígitos
      aleatorios%; **********ygizeq.com/%varios dígitos
      aleatorios%; **********ehiqino.com/%varios dígitos
      aleatorios%; **********ynufyk.com/%varios dígitos
      aleatorios%; **********ibipaj.com/%varios dígitos
      aleatorios%; **********ityvik.com/%varios dígitos
      aleatorios%; **********olalat.com/%varios dígitos
      aleatorios%; **********yziriryvi.com/%varios dígitos
      aleatorios%; **********idehecyty.com/%varios dígitos
      aleatorios%; **********uwemixonav.com/%varios dígitos
      aleatorios%; **********inolecowary.com/%varios dígitos
      aleatorios%; **********upowibi.com/%varios dígitos
      aleatorios%; **********isesyf.com/%varios dígitos
      aleatorios%; **********exynogemi.com/%varios dígitos
      aleatorios%; **********evepapucof.com/%varios dígitos
      aleatorios%; **********igomyqeg.com/%varios dígitos
      aleatorios%; **********emolezala.com/%varios dígitos
      aleatorios%; **********unemymyko.com/%varios dígitos
      aleatorios%; **********onabubi.com/%varios dígitos
      aleatorios%; **********oripuqoxyl.com/%varios dígitos
      aleatorios%; **********elaticik.com/%varios dígitos
      aleatorios%; **********exyhun.com/%varios dígitos
      aleatorios%; **********ofociv.com/%varios dígitos
      aleatorios%; **********ebihyku.com/%varios dígitos
      aleatorios%; **********yjajutava.com/%varios dígitos
      aleatorios%

Objeto mutex:
Crea el siguiente objeto mutex:
   • ir4cnxm3oi333

Descripción insertada por Andrei Ilie el viernes, 26 de agosto de 2011
Descripción actualizada por Andrei Ilie el viernes, 26 de agosto de 2011

Volver . . . .

Productos destacados

Más productos

Más populares

Todos los productos

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas

Productos destacados

Más productos

Más populares

Todos los productos

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas