¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Injector.LO
Descubierto:25/04/2012
Tipo:Troyano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Alto
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:67.072 Bytes
Suma de control MD5:b2b0c8d66ef083810Bcf5f54e15ee806
Versin del VDF:7.11.28.152
Versin del IVDF:7.11.28.152

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Trojan.Win32.Inject.dzsp
   •  Grisoft: SHeur4.AAYW
   •  Eset: Win32/Trustezeb.A
     GData: Trojan.Injector.ADI
     Norman: Trojan W32/Suspicious_Gen4.ACYPJ


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Modificaciones en el registro


Inmediatamente despus de su ejecucin, muestra la siguiente informacin:


 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %APPDATA%\Realtec\Realtecdriver.exe
   • %APPDATA%\Qvmh\C10199CBD8812EB1F92D.exe
   • %TEMP%\%serie de caracteres de 10 dgitos aleatorios%.pre
   • %SYSDIR%\3E5D1393D8812EB16C61.exe



Elimina la copia inicial del virus.

 Registro Aade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "Realtecdriver"="%APPDATA\Realtec\Realtecdriver.exe"

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   • "userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\3E5D1393D8812EB16C61.exe"

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "D8812EB1"="%APPDATA\Qvmh\C10199CBD8812EB1F92D.exe"



Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

[HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%serie de caracteres de 10 dgitos aleatorios%.pre;"

 Inyectar el cdigo viral en otros procesos – Se inyecta en un proceso.

 Informaciones diversas Conexin a Internet:
Para verificar la conexin a Internet, se conecta a los siguientes servidores DNS:
   • http://**********-a.com/**********.php?id=D8812EB1434E41564549&cmd=img
   • http://**********-a.com/**********.php?id=D8812EB1434E41564549&cmd=lfk&data=uJXbykvbhoZH1VxnSk0wIYg6TtL2zhzZ


Controlador de eventos:
Crea los siguientes controladores de eventos:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Wensin Lee el jueves 26 de abril de 2012
Descripción actualizada por Matthias Schlindwein el jueves 26 de abril de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.