¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:WORM/Taterf.D.188
Descubierto:17/06/2011
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:205.824 Bytes
Suma de control MD5:C471FB4C92AF45C40EA7010D112B0E69
Versión del VDF:7.11.10.00 - viernes, 17 de junio de 2011
Versión del IVDF:7.11.10.00 - viernes, 17 de junio de 2011

 General Alias:
   •  Kaspersky: Trojan.Win32.Vaklik.ljd
   •  TrendMicro: TROJ_GEN.RC1CRFG
   •  Microsoft: Worm:Win32/Taterf.D


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\arking.exe



Elimina la copia inicial del virus.




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • http://www.**********duywe.com/1mg/am.rar
El fichero está guardado en el disco duro en: %SYSDIR%\arking0.dll Los análisis adicionales indicaron que este fichero es también viral.

– La dirección es la siguiente:
   • http://www.**********dugcd.com/1mg/am1.rar
El fichero está guardado en el disco duro en: %SYSDIR%\arking1.dll Los análisis adicionales indicaron que este fichero es también viral.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "King_ar"="%SYSDIR%\arking.exe"



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="ghvudq.q"

 Finalización de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • FilMsg
   • Twister
   • preupd
   • BitDefender
   • AVP.EXE
   • AVGNT
   • avast


 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • explorer.exe

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea los siguientes programas de compresión de ejecutables:
   • PolyEnE
   • UPX
   • ASPack

Descripción insertada por Andrei Ilie el jueves, 22 de septiembre de 2011
Descripción actualizada por Andrei Ilie el jueves, 22 de septiembre de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.