¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Obisty.A
Descubierto:19/12/2012
Tipo:Troyano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Medio
Potencial de propagacin:Bajo
Potencial daino:Medio
Fichero esttico:S
Tamao:148.992 Bytes
Suma de control MD5:89FA070B12AEE94C97F15AFBC8404E00
Versin del VDF:7.11.54.86 - miércoles 19 de diciembre de 2012
Versin del IVDF:7.11.54.86 - miércoles 19 de diciembre de 2012

 General Mtodo de propagacin:
   • Al visitar sitios Web infectados

Deteccin similar:
     JS/Redirector.SB
     EXP/Pidief.zar


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7


Efectos secundarios:
   • Posibilita el acceso no autorizado al ordenador
   • Modificaciones en el registro
   • Roba informaciones

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %APPDATA%\KB%serie de caracteres aleatorios de ocho dgitos%.exe



Crea el siguiente fichero:

%TEMPDIR%\exp3.tmp.bat Adems, el fichero es ejecutado despus de haber sido creado. Este fichero batch es empleado para eliminar un fichero.

 Registro Aade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %APPDATA%\KB%serie de caracteres aleatorios de ocho dgitos% .exe

 Backdoor (Puerta trasera) Servidor contactado:
Uno de los siguientes:
   • http://84.22.100.108:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://182.237.17.180:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://123.49.61.59:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://204.15.30.202:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://64.76.19.236:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://59.90.221.6:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://210.56.23.100:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://94.73.129.120:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://174.143.174.136:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://203.217.147.52:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://74.207.237.170:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://23.29.73.220:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://69.64.89.82:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://74.63.229.10:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://74.86.113.66:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://174.121.188.156:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://50.22.94.96:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://173.203.102.204:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://74.117.107.25:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://174.142.68.239:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://188.212.156.170:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://188.120.226.30:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://78.28.120.32:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://217.65.100.41:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://81.93.250.157:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%
   • http://188.40.109.204:8080/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%/%serie de caracteres aleatorios%

De esta forma, puede enviar informaciones y obtener el control remoto. Esto se realiza mediante el mtodo HTTP POST, empleando un script PHP.

 Inyectar el cdigo viral en otros procesos  Se inserta como amenaza en los procesos.

Se inserta en todos los procesos.


 Datos del fichero Lenguaje de programacin:
El programa de malware ha sido escrito en MS Visual C++.


Programa de compresin de ejecutables:
Para agravar la deteccin y reducir el tamao del fichero, emplea un programa de compresin de ejecutables.

Descripción insertada por Liviu Serban el miércoles 19 de diciembre de 2012
Descripción actualizada por Andrei Gherman el miércoles 19 de diciembre de 2012

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.