¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Skelf.A
Descubierto:17/05/2012
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Medio-alto
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:34.477 Bytes
Suma de control MD5:78EE9C318793ADB145A5ABDC07DB8F1B
Versión del VDF:7.11.30.90 - jueves, 17 de mayo de 2012
Versión del IVDF:7.11.30.90 - jueves, 17 de mayo de 2012

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Eset: Win32/Trustezeb.B
   •  DrWeb: Trojan.Winlock.5908


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %TEMPDIR%\%serie de caracteres aleatorios%.pre
   • %SYSDIR%\%serie de caracteres aleatorios% .exe
   • %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %serie de caracteres aleatorios% = %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%serie de caracteres aleatorios%.exe,"



Elimina la siguiente clave del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



Añade las siguientes claves al registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%serie de caracteres aleatorios%.EXE"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%serie de caracteres aleatorios%.EXE"



Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Nuevo valor:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • %SYSDIR%\ctfmon.exe

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX


Codificación:
Codificado: el código del virus dentro del archivo está codificado.

Descripción insertada por Ana Maria Niculescu el jueves, 17 de mayo de 2012
Descripción actualizada por Andrei Gherman el jueves, 17 de mayo de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.