¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Drop.Injector.etcf
Descubierto:26/04/2012
Tipo:Troyano
Subtipo:Dropper
En circulación (ITW):No
Número de infecciones comunicadas:Alto
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:61.440 Bytes
Suma de control MD5:dd8c3d5370438068e8ff61391d801e7b
Versión del VDF:7.11.28.178 - jueves, 26 de abril de 2012
Versión del IVDF:7.11.28.178 - jueves, 26 de abril de 2012

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Injector.etcf
   •  Sophos: Troj/Bredo-WL
   •  Bitdefender: Trojan.Generic.KDV.608405
   •  Microsoft: Trojan:Win32/Matsnu
   •  Eset: a variant of Win32/Injector.QQN trojan
   •  GData: Trojan.Generic.KDV.608405


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %APPDATA%\Bsnoijhcbqe\E58BA09AD8812EB1728E.exe
   • %TEMP%\%serie de caracteres de 10 dígitos aleatorios%.pre
   • %SYSDIR%\7B128C17D8812EB16B33.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%serie de caracteres de 10 dígitos aleatorios%.pre;"

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

 Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:
   • http://**********-a.com/**********.php?id=**********564549&cmd=img
   • http://**********-a.com/**********.php?id=**********564549&cmd=lfk&data=**********k0wIYg6TtL2zhzZ
   • http://**********-a.com/**********.php?id=**********564549&stat=0


Controlador de eventos:
Crea los siguientes controladores de eventos:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Wensin Lee el viernes, 27 de abril de 2012
Descripción actualizada por Wensin Lee el viernes, 27 de abril de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.