¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:TR/Crypt.cfi.56
Descubierto:09/08/2013
Tipo:Troyano
En circulacin (ITW):No
Nmero de infecciones comunicadas:Medio-bajo
Potencial de propagacin:Bajo
Potencial daino:Bajo
Fichero esttico:S
Tamao:480.376 Bytes
Suma de control MD5:D0F52960AE4F2B30008F7CE7F115095D
Versin del VDF:7.11.95.246 - viernes 9 de agosto de 2013
Versin del IVDF:7.11.95.246 - viernes 9 de agosto de 2013

 General Mtodo de propagacin:
   • No tiene rutina propia de propagacin


Alias:
   •  Kaspersky: Trojan.Win32.Staser.rrj
   •  Sophos: Mal/Behav-363


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
    Windows Vista
    Windows Server 2008
    Windows 7

 Ficheros Se copia a s mismo en la siguiente ubicacin:
   • %ALLUSERSPROFILE%\Application Data\eSafe\eGdpSvc.exe



Crea el siguiente fichero:

Fichero no malicioso:
   • %ALLUSERSPROFILE%\Application Data\eSafe\log\eGdpSvc.LOG

 Registro Aade las siguientes claves al registro:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
   WsysControl]
   • "DisplayName"="Wsys Control 10.2.1.2634"
   • "DisplayVersion"="10.2.1.2634"
   • "publisher"="Wsys Co., Ltd."
   • "UninstallString"="C:\Documents and Settings\\All Users\\Application Data\\eSafe\\eGdpSvc.exe -unsvc"
   • "DisplayIcon"="C:\Documents and Settings\\All Users\\Application Data\\eSafe\\eGdpSvc.exe"

[HKLM\SOFTWARE\eSafeSecControl]
   • "sid"="eGdp"
   • "channel"="eGdp"
   • "pid"="eSafe"
   • "ver"="10.2.1.2634"

[HKLM\SYSTEM\ControlSet001\Services\WsysSvc]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000001
   • "ImagePath"="C:\Documents and Settings\\All Users\\Application Data\\eSafe\\eGdpSvc.exe"
   • "DisplayName"="Wsys Service"
   • "Group"="SchedulerGroup"
   • "ObjectName"="LocalSystem"
   • "Description"="Wsys update service"

[HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\
   WsysSvc]
[HKLM\SYSTEM\ControlSet001\Services\Eventlog\Application\WsysSvc]
   • "EventMessageFile"="C:\Documents and Settings\\All Users"
   • "TypesSupported"=dword:00000007

[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSYSSVC]
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSYSSVC\0000]
   • "Service"="WsysSvc"
   • "Legacy"=dword:00000001
   • "ConfigFlags"=dword:00000000
   • "Class"="LegacyDriver"
   • "ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
   • "DeviceDesc"="Wsys Service"

[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WSYSSVC\0000\Control]
   • "*NewlyCreated*"=dword:00000000
   • "ActiveService"="WsysSvc"

[HKLM\SYSTEM\ControlSet001\Services\Eventlog\Application]
   • "Sources"="WsysSvc;WSH;WMIAdapter;WMI.NET Provider Extension;WmdmPmSN;WinMgmt;Winlogon;Windows Product Activation;Windows 3.1 Migration;WebClient;**********"

[HKLM\SYSTEM\ControlSet001\Services\WsysSvc\Enum]
   • "0"="Root\\LEGACY_WSYSSVC\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

[HKLM\SYSTEM\ControlSet001\Control\ServiceCurrent]
   • @=dword:0000000a

[HKLM\SOFTWARE\eSafeSecControl]
   • "sid"="eGdp"
   • "ver"="10.2.1.2634"



Modifica la siguiente clave del registro:

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\
   Winlogon]
   Nuevo valor:
   • "ParseAutoexec"="1"

 Informaciones diversas  Para buscar una conexin a Internet, contacta los siguientes sitios web:
   • http://xa.x**********d.com/v4/sof-newgdp/**********&update4=ref1,eGdp
   • htp://up.sof.com/gdp/**********00000001

Descripción insertada por Soe-liang Tan el miércoles 25 de septiembre de 2013
Descripción actualizada por Soe-liang Tan el miércoles 25 de septiembre de 2013

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.