¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Rogue.kdv.640189
Descubierto:03/07/2012
Tipo:Troyano
En circulacin (ITW):S
Nmero de infecciones comunicadas:Bajo
Potencial de propagacin:Medio-bajo
Potencial daino:Medio
Tamao:94.720 Bytes
Suma de control MD5:C142F7941922369C46E948FF508F67CE
Versin del VDF:7.11.34.246 - martes 3 de julio de 2012
Versin del IVDF:7.11.34.246 - martes 3 de julio de 2012

 General Mtodo de propagacin:
    Funcin de autoejecucin


Alias:
   •  Mcafee: PWS-Spyeye
   •  Kaspersky: Worm.Win32.Cridex.dc
     Microsoft: Worm:Win32/Cridex.B
   •  Grisoft: SHeur4.AHBZ
   •  Eset: Win32/AutoRun.Spy.Banker.M worm
     DrWeb: Trojan.DownLoader6.13798


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Suelta ficheros
   • Modificaciones en el registro

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %APPDATA%\KB00027502.exe

%disquetera%\autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
   • %cdigo que ejecuta malware%

%TEMPDIR%\POS1.tmp Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "KB00027502.exe"="%APPDATA%\KB00027502.exe"



Aade las siguientes claves al registro:

[HKCU\Software\Microsoft\Windows Media Center\C36E1C63]
[HKCU\Software\Microsoft\Windows Media Center\2FB0C48D]
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
   • "GlobalUserOffline"=dword:00000000

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru
   • micros**********.ru

De esta forma, puede enviar informaciones y obtener el control remoto.

 Inyectar el cdigo viral en otros procesos Se inyecta como un hilo de ejecucin remoto en un proceso.

    Nombre del proceso:
   • %WINDIR%\Explorer.EXE


 Datos del fichero Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea el siguiente programa de compresin de ejecutables:
   • UPX

Descripción insertada por Daniel Mocanu el miércoles 8 de agosto de 2012
Descripción actualizada por Daniel Mocanu el miércoles 8 de agosto de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.