¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Rogue.kdv.640189
Descubierto:03/07/2012
Tipo:Troyano
En circulación (ITW):
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio-bajo
Potencial dañino:Medio
Tamaño:94.720 Bytes
Suma de control MD5:C142F7941922369C46E948FF508F67CE
Versión del VDF:7.11.34.246 - martes, 3 de julio de 2012
Versión del IVDF:7.11.34.246 - martes, 3 de julio de 2012

 General Método de propagación:
   • Función de autoejecución


Alias:
   •  Mcafee: PWS-Spyeye
   •  Kaspersky: Worm.Win32.Cridex.dc
   •  Microsoft: Worm:Win32/Cridex.B
   •  Grisoft: SHeur4.AHBZ
   •  Eset: Win32/AutoRun.Spy.Banker.M worm
   •  DrWeb: Trojan.DownLoader6.13798


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %APPDATA%\KB00027502.exe

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %código que ejecuta malware%

%TEMPDIR%\POS1.tmp Además, el fichero es ejecutado después de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "KB00027502.exe"="%APPDATA%\KB00027502.exe"



Añade las siguientes claves al registro:

– [HKCU\Software\Microsoft\Windows Media Center\C36E1C63]
– [HKCU\Software\Microsoft\Windows Media Center\2FB0C48D]
– HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "GlobalUserOffline"=dword:00000000

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru

De esta forma, puede enviar informaciones y obtener el control remoto.

 Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • %WINDIR%\Explorer.EXE


 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX

Descripción insertada por Daniel Mocanu el miércoles, 8 de agosto de 2012
Descripción actualizada por Daniel Mocanu el miércoles, 8 de agosto de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.