¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Obfuscate.BX.116
Descubierto:16/06/2011
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:305.664 Bytes
Suma de control MD5:AD95F16360591B4A493BAB90B9DE921B
Versión del VDF:7.11.09.231 - jueves, 16 de junio de 2011
Versión del IVDF:7.11.09.231 - jueves, 16 de junio de 2011

 General Alias:
   •  Microsoft: Worm:Win32/Taterf.D
   •  AhnLab: Dropper/Win32.OnlineGameHack


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\v3avast.exe



Elimina la copia inicial del virus.




Intenta descargar algunos ficheros:

– La dirección es la siguiente:
   • **********.baidukch.com/1hg/ah.rar
El fichero está guardado en el disco duro en: %SYSDIR%\sosv3.exe Los análisis adicionales indicaron que este fichero es también viral.

– La dirección es la siguiente:
   • **********.baidugcd.com/1hg/ah1.rar
El fichero está guardado en el disco duro en: %SYSDIR%\v3avie0.dll Los análisis adicionales indicaron que este fichero es también viral.

– La dirección es la siguiente:
   • **********.baidugcd.com/1hg/ah1.rar
El fichero está guardado en el disco duro en: %SYSDIR%\v3avmn0.dll Los análisis adicionales indicaron que este fichero es también viral.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "V3_reg"="%SYSDIR%\v3avast.exe"
   • "SOS_reg"="%SYSDIR%\sosv3.exe"



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
   • "urlinfo"="ihfewq.j"

 Finalización de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • avast
   • AVGNT
   • AVP.EXE
   • BitDefender
   • FilMsg
   • HUpdate
   • preupd
   • Twister


 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Nombre del proceso:
   • explorer.exe

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea los siguientes programas de compresión de ejecutables:
   • ASPack
   • PolyEnE
   • UPX

Descripción insertada por Andrei Ilie el lunes, 26 de septiembre de 2011
Descripción actualizada por Andrei Ilie el lunes, 26 de septiembre de 2011

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.