¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Matsnu.A.75
Descubierto:26/08/2012
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Medio-alto
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:65.536 Bytes
Suma de control MD5:B80FCBA4B91876363A2977DAA472A143
Versión del VDF:7.11.40.252 - domingo, 26 de agosto de 2012
Versión del IVDF:7.11.40.252 - domingo, 26 de agosto de 2012

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Kaspersky: Trojan.Win32.Agentb.adm
   •  Bitdefender: Trojan.Generic.KDV.708823
   •  Eset: Win32/Trustezeb.C
   •  DrWeb: Trojan.DownLoader6.48319


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows Server 2008
   • Windows 7


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %TEMPDIR%\%serie de caracteres aleatorios%.pre
   • %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "%serie de caracteres aleatorios%"="%APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe"

 Correo electrónico No incluye rutina de propagación propia, pero se ha difundido por correo electrónico. Las características están descritas a continuación:


El diseño del mensaje de correo:



Asunto: Zweite Abmahnung %fecha actual%
Cuerpo del mensaje:
   • Guten Tag %nombre de usuario de la cuenta de correo%,
     
     in unserem Brief vom %date% wurden Sie bereits gemahnt, weil die nicht bezahlte Forderung von 9895,39 Euro von Ihnen noch nicht bezahlt wurde.
     Wir fordern Sie erneut, Ihrer nicht beglichene Forderung zu begleichen.
     
     Wir müssen Ihnen die Kosten von 14,00 Euro darüber hinaus zu der noch offenen Forderung als Mahngebühr in Rechnung stellen.
     Wir bitten Sie, den offenen Betrag bis zum %fecha actual% auf das angegebene Konto zu übersenden.
     
     Überweisungsschein und Artikel Liste sind in dem angefügten Schreiben.
     
     Mit besten Grüßen
     
     LorenzShop GmbH Keiserslauter
     (Mo-Fr 9.00 bis 18.00 Uhr, Sa 9.00 bis 16.00 Uhr)
     Leiter: Timm Friedrich
     Steuer-Nummer: DE303736944
     
Adjunto:
   • Abmahnung %nombre de usuario de la cuenta de correo%.zip

El adjunto es un archivo que contiene una copia del programa viral.

 Backdoor (Puerta trasera) Servidor contactado:
La siguiente:
   • http://seneesamj.com/ld/a.**********

De esta forma, puede enviar informaciones y obtener el control remoto.

Capabilidades de control remoto:
    • Descargar fichero

 Inyectar el código viral en otros procesos – Se inyecta en un proceso.

    Los siguientes procesos:
   • %WINDIR%\explorer.exe
   • %SYSDIR%\svchost.exe
   • %SYSDIR%\ctfmon.exe


 Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Borland C++.

Descripción insertada por Tudor Ciochina el miércoles, 29 de agosto de 2012
Descripción actualizada por Tudor Ciochina el jueves, 30 de agosto de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.