El laboratorio de virus de Avira

DDOS/Nitol.A.215

  • Nombre
    DDOS/Nitol.A.215
  • Descubierto
    26/10/2015
  • Versión VDF
    7.11.51.190 (2012-11-28 09:07)

El término 'DDOS' se refiere a un programa que puede ejecutar ataques de denegación de servicio, por ejemplo, en determinadas páginas de Internet.

  • VDF
    7.11.51.190 (2012-11-28 09:07)
  • Alias
    Avast: Win32:ServStart-C
    AVG: Generic18.MDX
    ClamAV: Trojan.MicroFake-1
    Dr. Web: Trojan.DownLoader13.1900
    F-PROT: W32/MalwareF.YMPW (exact)
    Trend Micro: WORM_MICROFAKE.U
    Microsoft: DDoS:Win32/Nitol
    G Data: Trojan.Microfake.D
    Kaspersky Lab: Trojan.Win32.MicroFake.ba
    Bitdefender: Trojan.Microfake.D
    ESET: Win32/Agent.RNS trojan
  • Archivos
    Archivos que crea:
    • %SYSDIR%\emuimo.exe
    • %SYSDIR%\hra33.dll
    Archivos a los que cambia el nombre:
    • %TEMPDIR%\hrl4E.tmp
    • %DISKDRIVE%\RCX4F.tmp
    Archivos que elimina:
    • %SYSDIR%\hra33.dll
    Copias de sí mismo que crea:
    • %DISKDRIVE%\RCX4F.tmp
    • %APPDATA%\Sun\Java\jre1.7.0_51\lpk.dll
    • %TEMPDIR%\Microsoft .NET Framework 4 Setup_4.0.30319\lpk.dll
    • %TEMPDIR%\lpk.dll
    • %TEMPDIR%\{62198C42-974B-4F90-9AD2-12763AB58C97}~setup\lpk.dll
    • %temporary internet files%\Content.IE5\5KMEPSXE\lpk.dll
    • %temporary internet files%\Content.IE5\LV2JIAKP\lpk.dll
    • %temporary internet files%\Content.IE5\QH9ZEEV0\lpk.dll
    • %DISKDRIVE%\hips\lpk.dll
    • %DISKDRIVE%\incoming\lpk.dll
    • %DISKDRIVE%\lpk.dll
    • %PROGRAM FILES%\Common Files\Java\Java Update\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\DW\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\MSInfo\lpk.dll
    • %PROGRAM FILES%\Common Files\Microsoft Shared\Speech\lpk.dll
    • %PROGRAM FILES%\FileZilla Server\lpk.dll
    • %PROGRAM FILES%\Internet Explorer\Connection Wizard\lpk.dll
    • %PROGRAM FILES%\Internet Explorer\lpk.dll
    • %PROGRAM FILES%\Java\jre7\bin\lpk.dll
    • %PROGRAM FILES%\Messenger\lpk.dll
    • %PROGRAM FILES%\Movie Maker\lpk.dll
    • %PROGRAM FILES%\Mozilla Firefox\lpk.dll
    • %PROGRAM FILES%\Mozilla Firefox\uninstall\lpk.dll
    • %PROGRAM FILES%\MSN\MSNCoreFiles\Install\MSN9Components\lpk.dll
    • %PROGRAM FILES%\MSN\MSNCoreFiles\Install\lpk.dll
    • %PROGRAM FILES%\MSN Gaming Zone\Windows\lpk.dll
    • %PROGRAM FILES%\NetMeeting\lpk.dll
    • %PROGRAM FILES%\Outlook Express\lpk.dll
  • Inyecciones
    • %SYSDIR%\svchost.exe
  • Registro
    Añade las siguientes entradas al registro:
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq ("Type": dword:00000010; "Start": dword:00000002; "ErrorControl": dword:00000000; "ImagePath": "%SYSDIR%\emuimo.exe"; "DisplayName": "Distribuqre Transaction Coordinator Service"; "ObjectName": "LocalSystem")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq\Security ("Security": %hex values%)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DISTRIBUMKQ ("NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DISTRIBUMKQ\0000 ("Service": "Distribumkq"; "Legacy": dword:00000001; "ConfigFlags": dword:00000000; "Class": "LegacyDriver"; "ClassGUID": "{8ECC055D-047F-11D1-A537-0000F8753ED1}"; "DeviceDesc": "Distribuqre Transaction Coordinator Service")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DISTRIBUMKQ\0000\Control ("*NewlyCreated*": dword:00000000; "ActiveService": "Distribumkq")
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq\Enum ("0": "Root\LEGACY_DISTRIBUMKQ\0000"; "Count": dword:00000001; "NextInstance": dword:00000001)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent (@: dword:00000011)
    • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Distribumkq ("Description": "Distribuoxs Transaction Coordinator Service.")

Ayude a convertir la web en un lugar más seguro enviándonos archivos sospechosos o URL sospechosas para que los analicemos.

Enviar un archivo o una URL O Ir a Avira Answers

¿Por qué enviar un archivo sospechoso?

Si ha encontrado un archivo o un sitio web sospechoso que no está en nuestra base de datos, lo analizaremos y determinaremos si es dañino. Nuestros resultados se envían a continuación a millones de usuarios con la siguiente actualización de la base de datos de virus. Si tiene Avira, también recibirá esa actualización. ¿No tiene Avira? Obténgalo en nuestra página de inicio.

¿Qué es Avira Answers?

Es nuestra comunidad, activa y próspera, formada por profesionales técnicos y expertos independientes que trabajan juntos para resolver problemas técnicos. Es el lugar perfecto para plantear su pregunta a una comunidad de usuarios en su misma situación.