¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:W32/Virut.CEE
Descubierto:21/06/2010
Tipo:Infector de ficheros
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio
Fichero estático:No
Tamaño:143360 Bytes
Suma de control MD5:bd55cdf096d39f047163390dd2be8d69
Versión del VDF:7.10.03.162
Versión del IVDF:7.10.08.131 - lunes, 21 de junio de 2010

 General Método de propagación:
   • Infecta archivos


Alias:
   •  Mcafee: PWS-Zbot.gen.di
   •  Kaspersky: Packed.Win32.Krap.ar
   •  Bitdefender: Gen:Malware.Heur.iq0@bS!EvhcG
   •  Grisoft: Generic_r.AAJ
   •  Eset: Win32/Ramnit.A virus
   •  GData: Gen:Malware.Heur.iq0@bS!EvhcG
   •  DrWeb: Trojan.Inject.14349
   •  Norman: Trojan W32/Ramnit.W


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efectos secundarios:
   • Infecta archivos

 Ficheros Crea los siguientes ficheros:

%PROGRAM FILES%\Microsoft\WaterMark.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral.

 Infección de ficheros Tipo de infector:

Adicionador: el código principal de virus se ha añadido al final del archivo infectado.
– La última sección del archivos se ha modificado para incluir el código de virus.
– Una sección se ha añadido al archivo infectado.

Los siguientes archivos se han infectado:

Mediante tipo de archivo:
   • *.exe
   • *.dll
   • *.htm

Archivos en una de las siguientes rutas y todas las sub-rutas:
   • %disquetera%

 Registro Modifica la siguiente clave del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Valor anterior:
   • "Userinit"="c:\windows\\system32\\userinit.exe,"
   Nuevo valor:
   • "Userinit"="c:\windows\\system32\\userinit.exe,,C:\Program Files\\microsoft\\watermark.exe"

 Informaciones diversas Conexión a Internet:
Para verificar la conexión a Internet, se conecta a los siguientes servidores DNS:
   • erwbtkidthetcwerc.com
   • rvbwtbeitwjeitv.com
   • rterybrstutnrsbberve.com


Simula ser un fichero de confianza:
Su proceso finge ser el proceso de confianza siguiente: npswf32.dll

Descripción insertada por Wensin Lee el jueves, 10 de mayo de 2012
Descripción actualizada por Wensin Lee el jueves, 10 de mayo de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.