¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:RKit/Agent.deoh
Descubierto:13/07/2012
En circulación (ITW):No
Número de infecciones comunicadas:Medio-bajo
Potencial de propagación:Bajo
Potencial dañino:Bajo
Tamaño:6.400 Bytes
Suma de control MD5:f48ec0c212f2a39dbb1ac08383cbaa9f
Versión del VDF:7.11.36.22 - viernes, 13 de julio de 2012
Versión del IVDF:7.11.36.22 - viernes, 13 de julio de 2012

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Kaspersky: Rootkit.Win32.Agent.deoh
   •  Avast: Win32:Agent-AOTK


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Modificaciones en el registro

 Registro Añade las siguientes claves al registro:

– [HKLM\SYSTEM\ControlSet001\Services\
   %nombre del archivo ejecutado sin extensión%]
   • ""=""
   • "DisplayName"="%nombre del archivo ejecutado sin extensión%"

– [HKLM\SYSTEM\ControlSet001\Services\
   %nombre del archivo ejecutado sin extensión%\Enum]
   • ""=""
   • "Count"="dword:0x00000000"
   • "INITSTARTFAILED"="dword:0x00000001"
   • "NextInstance"="dword:0x00000000"

– [HKLM\SYSTEM\ControlSet001\Services\
   %nombre del archivo ejecutado sin extensión%]
   • "ErrorControl"="dword:0x00000001"
   • "ImagePath"="\??\%nombre de directorio%\%ficheros ejecutados%"

– [HKLM\SYSTEM\ControlSet001\Services\
   %nombre del archivo ejecutado sin extensión%\Security]
   • ""=""
   • "Security"="hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
   • ,00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,\
   • ,00,00,01,00,00,00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,\
   • ,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,\
   • ,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,\
   • ,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
   • ,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,\
   • ,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,\
   • ,00,00,05,12,00,00,00"

– [HKLM\SYSTEM\ControlSet001\Services\
   %nombre del archivo ejecutado sin extensión%]
   • "Start"="dword:0x00000003"
   • "Type"="dword:0x00000001"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %nombre del archivo ejecutado sin extensión%]
   • ""=""
   • "DisplayName"="%nombre del archivo ejecutado sin extensión%"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %nombre del archivo ejecutado sin extensión%\Enum]
   • ""=""
   • "Count"="dword:0x00000000"
   • "INITSTARTFAILED"="dword:0x00000001"
   • "NextInstance"="dword:0x00000000"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %nombre del archivo ejecutado sin extensión%]
   • "ErrorControl"="dword:0x00000001"
   • "ImagePath"="\??\%nombre de directorio%\%ficheros ejecutados%"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %nombre del archivo ejecutado sin extensión%\Security]
   • ""=""
   • "Security"="hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
   • ,00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,\
   • ,00,00,01,00,00,00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,\
   • ,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,\
   • ,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,\
   • ,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
   • ,00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,\
   • ,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,\
   • ,00,00,05,12,00,00,00"

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %nombre del archivo ejecutado sin extensión%]
   • "Start"="dword:0x00000003"
   • "Type"="dword:0x00000001"

 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Martin Muench el sábado, 14 de julio de 2012
Descripción actualizada por Martin Muench el sábado, 14 de julio de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.