TR/KillAV.AV.1 - Trojan

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	TR/KillAV.AV.1
Descubierto:	28/03/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	34.064 Bytes
Suma de control MD5:	e021b7cbe9eb78a8c82836c0e5a4f363
Versión del VDF:	6.34.00.105

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Bitdefender: Trojan.KillAV.AV

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Desactiva los programas de seguridad
   • Suelta ficheros dañinos
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Posibilita el acceso no autorizado al ordenador

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\%serie de caracteres aleatorios%.exe
   • %SYSDIR%\%caracteres doble-byte%.pif

Se copia a sí mismo en un archivo en la siguiente ubicación:
   • %SYSDIR%\%caracteres doble-byte%.zip

Crea los siguientes ficheros:

– %SYSDIR%\%serie de caracteres aleatorios%.exe Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/KillAV.HF

– %SYSDIR%\%serie de caracteres aleatorios%.dll Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/KillAV.HE

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios%]
   • Type = dword:00000010
   • Start = dword:00000002
   • ErrorControl = dword:00000001
   • ImagePath = %SYSDIR%\%serie de caracteres aleatorios%.exe -service
   • DisplayName = %serie de caracteres aleatorios%
   • ObjectName = LocalSystem
   • Description = %caracteres doble-byte%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios%\Security]
   • Security = %valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\
   %serie de caracteres aleatorios%\Enum]
   • 0 = Root\\LEGACY_%serie de caracteres aleatorios%\\0000
   • Count = dword:00000001
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%serie de caracteres aleatorios%]
   • NextInstance = dword:00000001

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%serie de caracteres aleatorios%\0000]
   • Service = %serie de caracteres aleatorios%
   • Legacy = dword:00000001
   • ConfigFlags = dword:00000000
   • Class = LegacyDriver
   • ClassGUID = {8ECC055D-047F-11D1-A537-0000F8753ED1}
   • DeviceDesc = %serie de caracteres aleatorios%

– [HKLM\SYSTEM\CurrentControlSet\Enum\Root\
   LEGACY_%serie de caracteres aleatorios%\0000\Control]
   • *NewlyCreated* = dword:00000000
   • ActiveService = %serie de caracteres aleatorios%

Elimina del registro de Windows los valores de las siguientes claves:

– [HKLM\SYSTEM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • DcomLaunch Servers
   • MSCTS
   • CONINE
   • VMST
   • MOUST
   • KVMonXP
   • KvXP

– [HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
   • KVMonXP
   • KvXP

– [HKLM\SYSTEM\ControlSet001\Control\Session Manager]
   • BootExecute

Elimina las siguientes claves del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT]
   Nuevo valor:
   • ReportBootOk = dword:00000000

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   Nuevo valor:
   • ReportBootOk = 0

– [HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
   Nuevo valor:
   • DoReport = dword:00000000
   • ShowUI = dword:00000000

Finalización de los procesos Termina los procesos que contienen las siguientes series de caracteres:
   • NOD32; Mcshield; qqkav; agentsvr; frogagent; kvxp; kvsrvxp; kregex;
      trojdie; kvcenter; kvmon; uihost; vsmon; vptray; rtvscan; Navap;
      Norton; Symantec; webscanx; vsstat; vshwin32; alogserv; avsynmgr;
      avconsol; Iparmor; KWatch; KPfwSvc; KMailMon; KavPFW; KAVStart;
      KAVSvc; KULANSyn; KPopMon; KWatchUI; KAVPlus; rfwsrv; RAVMON; rfwmain;
      RAVTIMER; RAV.exe; RavStub; Ravmond; CCENTER

Listado de los servicios desactivados:
   • KVSrvXP_1
   • KVSrvXP
   • RsCCenter
   • SharedAccess

Backdoor (Puerta trasera) Abre el siguiente puerto:

– explorer.exe en un puerto TCP aleatorio

Servidor contactado:
Las siguientes:
   • http://imkill.98link.com:88/**********
   • http://imkill.98link.com:89/**********

De esta forma, puede enviar informaciones y obtener el control remoto. La respuesta del servidor queda escrita en el fichero: %SYSDIR%\update.web; %SYSDIR%\kgstfd.t

Envía informaciones acerca de:
    • Estado actual del programa viral

Capabilidades de control remoto:
    • Descargar fichero
    • Ejecutar fichero
    • Visitar un sitio web

Inyectar el código viral en otros procesos – Inyecta el siguiente fichero en un proceso: %SYSDIR%\%serie de caracteres aleatorios%.dll

    Los siguientes procesos:
   • winlogon.exe
   • explorer.exe

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Tue, 28 Mar 2006 17:36 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 30 Mar 2006 14:23 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back