¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Dldr.Agent.17383
Tipo:Troyano
Subtipo:Downloader
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Tamaño:102400 Bytes
Suma de control MD5:34532a17a64d595a8d139ef5fcb753cf

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Bitdefender: Trojan.Generic.KDV.647838
   •  Eset: Win32/Trustezeb.C trojan
   •  GData: Trojan.Generic.KDV.647838
   •  DrWeb: Trojan.DownLoader6.17383


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %temp%\%serie de caracteres de 10 dígitos aleatorios% .pre
   • %appdata%\%serie de caracteres aleatorios de cinco dígitos% \%serie de caracteres de 10 dígitos aleatorios% .exe



Elimina la copia inicial del virus.

 Registro Añade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

–  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "D8812EB1"="%temp%\%serie de caracteres aleatorios de cinco dígitos% \%serie de caracteres aleatorios de ocho dígitos% .exe"



Añade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%serie de caracteres de 10 dígitos aleatorios% .pre"



Elimina del registro de Windows el valor de la siguiente clave:

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • "AlternateShell"="cmd.exe"



Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableRegistryTools"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "Debugger"="P9KDMF.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "Debugger"="P9KDMF.EXE"

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • "Debugger"="P9KDMF.EXE"

– [HKEY_USERS\S-1-5-21-602162358-2077806209-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableRegistryTools"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

 Informaciones diversas Accede a recursos de Internet:
   • http://**********-shops.com/forum/**********.php?id=**********E45544E45&cmd=pcc&win=Windows_XP&loc=0x0809&ver=2.000.11
   • http://**********-shops.com/forum/**********.php?id=**********45544E45&cmd=lfk&ldn=31&stat=CRA&ver=2.000.11&data=**********L86tkrTFDMEt9Cgt8DREw==

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Wensin Lee el miércoles, 13 de junio de 2012
Descripción actualizada por Wensin Lee el miércoles, 13 de junio de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.