¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Skelf.A
Descubierto:17/05/2012
Tipo:Troyano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Medio-alto
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:34.477 Bytes
Suma de control MD5:78EE9C318793ADB145A5ABDC07DB8F1B
Versin del VDF:7.11.30.90 - jueves 17 de mayo de 2012
Versin del IVDF:7.11.30.90 - jueves 17 de mayo de 2012

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Eset: Win32/Trustezeb.B
     DrWeb: Trojan.Winlock.5908


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows 7


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente despus de su ejecucin, muestra la siguiente informacin:


 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %TEMPDIR%\%serie de caracteres aleatorios%.pre
   • %SYSDIR%\%serie de caracteres aleatorios% .exe
   • %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.

 Registro Aade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %serie de caracteres aleatorios% = %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%serie de caracteres aleatorios%.exe,"



Elimina la siguiente clave del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



Aade las siguientes claves al registro:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%serie de caracteres aleatorios%.EXE"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%serie de caracteres aleatorios%.EXE"



Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Nuevo valor:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

    Nombre del proceso:
   • %SYSDIR%\ctfmon.exe

   Al lograr la operacin, el programa malicioso cesa su ejecucin, mientras que su componente inyectado queda activo.

 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX


Codificacin:
Codificado: el cdigo del virus dentro del archivo est codificado.

Descripción insertada por Ana Maria Niculescu el jueves 17 de mayo de 2012
Descripción actualizada por Andrei Gherman el jueves 17 de mayo de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.