¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Drop.Injector.etcf
Descubierto:26/04/2012
Tipo:Troyano
Subtipo:Dropper
En circulacin (ITW):No
Nmero de infecciones comunicadas:Alto
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:61.440 Bytes
Suma de control MD5:dd8c3d5370438068e8ff61391d801e7b
Versin del VDF:7.11.28.178 - jueves 26 de abril de 2012
Versin del IVDF:7.11.28.178 - jueves 26 de abril de 2012

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Injector.etcf
   •  Sophos: Troj/Bredo-WL
   •  Bitdefender: Trojan.Generic.KDV.608405
     Microsoft: Trojan:Win32/Matsnu
   •  Eset: a variant of Win32/Injector.QQN trojan
     GData: Trojan.Generic.KDV.608405


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Modificaciones en el registro


Inmediatamente despus de su ejecucin, muestra la siguiente informacin:


 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %APPDATA%\Bsnoijhcbqe\E58BA09AD8812EB1728E.exe
   • %TEMP%\%serie de caracteres de 10 dgitos aleatorios%.pre
   • %SYSDIR%\7B128C17D8812EB16B33.exe



Elimina la copia inicial del virus.

 Registro Aade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

[HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%serie de caracteres de 10 dgitos aleatorios%.pre;"

 Inyectar el cdigo viral en otros procesos – Se inyecta en un proceso.

 Informaciones diversas Conexin a Internet:
Para verificar la conexin a Internet, se conecta a los siguientes servidores DNS:
   • http://**********-a.com/**********.php?id=**********564549&cmd=img
   • http://**********-a.com/**********.php?id=**********564549&cmd=lfk&data=**********k0wIYg6TtL2zhzZ
   • http://**********-a.com/**********.php?id=**********564549&stat=0


Controlador de eventos:
Crea los siguientes controladores de eventos:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Wensin Lee el viernes 27 de abril de 2012
Descripción actualizada por Wensin Lee el viernes 27 de abril de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.