¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Injector.LO
Descubierto:25/04/2012
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Alto
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:67.072 Bytes
Suma de control MD5:b2b0c8d66ef083810Bcf5f54e15ee806
Versión del VDF:7.11.28.152
Versión del IVDF:7.11.28.152

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan.Win32.Inject.dzsp
   •  Grisoft: SHeur4.AAYW
   •  Eset: Win32/Trustezeb.A
   •  GData: Trojan.Injector.ADI
   •  Norman: Trojan W32/Suspicious_Gen4.ACYPJ


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %APPDATA%\Realtec\Realtecdriver.exe
   • %APPDATA%\Qvmh\C10199CBD8812EB1F92D.exe
   • %TEMP%\%serie de caracteres de 10 dígitos aleatorios%.pre
   • %SYSDIR%\3E5D1393D8812EB16C61.exe



Elimina la copia inicial del virus.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Realtecdriver"="%APPDATA\Realtec\Realtecdriver.exe"

–  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\3E5D1393D8812EB16C61.exe"

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "D8812EB1"="%APPDATA\Qvmh\C10199CBD8812EB1F92D.exe"



Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%serie de caracteres de 10 dígitos aleatorios%.pre;"

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

 Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:
   • http://**********-a.com/**********.php?id=D8812EB1434E41564549&cmd=img
   • http://**********-a.com/**********.php?id=D8812EB1434E41564549&cmd=lfk&data=uJXbykvbhoZH1VxnSk0wIYg6TtL2zhzZ


Controlador de eventos:
Crea los siguientes controladores de eventos:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Wensin Lee el jueves, 26 de abril de 2012
Descripción actualizada por Matthias Schlindwein el jueves, 26 de abril de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.