¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Crypt.Gypikon.A.9
Descubierto:02/05/2012
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:52.224 Bytes
Suma de control MD5:8950aecc4d90c7cc4c4b8e79b6a96260
Versión del VDF:7.11.29.20 - miércoles, 2 de mayo de 2012
Versión del IVDF:7.11.29.20 - miércoles, 2 de mayo de 2012

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Trojan-Dropper.Win32.Injector.etcf
   •  Sophos: Troj/Bredo-WL
   •  Bitdefender: Trojan.Generic.KDV.608405
   •  Microsoft: Trojan:Win32/Matsnu
   •  Eset: a variant of Win32/Injector.QQN trojan
   •  GData: Trojan.Generic.KDV.608405


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %APPDATA%\Jmndi\7D7C52F4D8812EB11AC8.exe
   • %TEMP%\%serie de caracteres de 10 dígitos aleatorios%.pre
   • %SYSDIR%\AEA7B643D8812EB12BFE.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%TEMP%\%serie de caracteres de 10 dígitos aleatorios%.pre;"

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

 Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:
   • http://**********-a.com/**********.php?id=**********434E41564549&cmd=img
   • http://**********-a.com/**********.php?id=**********41564549&cmd=lfk&data=**********30WIIsfb#XNyxX5No#hQg0%2Bl85I9m0VmEP2IpcA
   •


Controlador de eventos:
Crea los siguientes controladores de eventos:
   • CreateService
   • StartService
   • CreateRemoteThread
   • HttpOpenRequest
   • FtpOpenFile
   • InternetOpenUrl
   • InternetOpen
   • GetDriveType
   • CreateFile
   • CreateToolhelp32Snapshot
   • ShellExecute

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.

Descripción insertada por Wensin Lee el viernes, 4 de mayo de 2012
Descripción actualizada por Wensin Lee el viernes, 4 de mayo de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.