¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Dldr.Agent.17383
Tipo:Troyano
Subtipo:Downloader
En circulacin (ITW):No
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Bajo
Potencial daino:Medio
Tamao:102400 Bytes
Suma de control MD5:34532a17a64d595a8d139ef5fcb753cf

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Bitdefender: Trojan.Generic.KDV.647838
   •  Eset: Win32/Trustezeb.C trojan
     GData: Trojan.Generic.KDV.647838
     DrWeb: Trojan.DownLoader6.17383


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Modificaciones en el registro


Inmediatamente despus de su ejecucin, muestra la siguiente informacin:


 Ficheros Se copia a s mismo en las siguientes ubicaciones:
   • %temp%\%serie de caracteres de 10 dgitos aleatorios% .pre
   • %appdata%\%serie de caracteres aleatorios de cinco dgitos% \%serie de caracteres de 10 dgitos aleatorios% .exe



Elimina la copia inicial del virus.

 Registro Aade uno de los siguientes valores en el registro, para ejecutar los procesos al reiniciar el sistema:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "D8812EB1"="%temp%\%serie de caracteres aleatorios de cinco dgitos% \%serie de caracteres aleatorios de ocho dgitos% .exe"



Aade las siguientes claves del registro para ejecutar los servicios al iniciar el sistema:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

[HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • "PendingFileRenameOperations"="\??\%temp%\%serie de caracteres de 10 dgitos aleatorios% .pre"



Elimina del registro de Windows el valor de la siguiente clave:

–  [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]
   • "AlternateShell"="cmd.exe"



Aade las siguientes claves al registro:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableRegistryTools"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe]
   • "Debugger"="P9KDMF.EXE"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe]
   • "Debugger"="P9KDMF.EXE"

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\taskmgr.exe]
   • "Debugger"="P9KDMF.EXE"

[HKEY_USERS\S-1-5-21-602162358-2077806209-839522115-1003\Software\
   Microsoft\Windows\CurrentVersion\Policies\System]
   • "DisableRegedit"="dword:0x00000001"
   • "DisableRegistryTools"="dword:0x00000001"
   • "DisableTaskMgr"="dword:0x00000001"

 Inyectar el cdigo viral en otros procesos – Se inyecta en un proceso.

 Informaciones diversas Accede a recursos de Internet:
   • http://**********-shops.com/forum/**********.php?id=**********E45544E45&cmd=pcc&win=Windows_XP&loc=0x0809&ver=2.000.11
   • http://**********-shops.com/forum/**********.php?id=**********45544E45&cmd=lfk&ldn=31&stat=CRA&ver=2.000.11&data=**********L86tkrTFDMEt9Cgt8DREw==

 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en Visual Basic.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Wensin Lee el miércoles 13 de junio de 2012
Descripción actualizada por Wensin Lee el miércoles 13 de junio de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.