W32/Hidrag.a - Malware

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	W32/Hidrag.a
Descubierto:	13/04/2005
Tipo:	Infector de ficheros
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Medio-bajo
Potencial dañino:	Medio-bajo
Fichero estático:	No
Tamaño:	~ 36.352 Bytes
Versión del VDF:	6.30.00.93

General Método de propagación:
   • Unidades de red mapeadas

Alias:
   • Symantec: W32.Jeefo
   • Mcafee: W32/Jeefo
   • Kaspersky: Virus.Win32.Hidrag.a
   • TrendMicro: PE_JEEFO.A
   • F-Secure: Virus.Win32.Hidrag.a
   • Sophos: W32/Jeefo-A
   • Grisoft: Win32/Hidrag.A
   • Eset: Win32/Jeefo.A
   • Bitdefender: Win32.Jeefo.A

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Suelta un fichero dañino
   • Modificaciones en el registro

   Description

   W32/Hidrag.a is a non-dangerous memory resident virus that infects Win32 PE EXE files.

   The virus searches for files to infect and upon infection it encrypts part of the file.

   When an infected file is executed, it drops the first-generation infector in the Windows directory as svchost.exe, which is registered as "Power Manager" service (on Windows NT/2000/XP). The virus then executes the original file without manifesting itself in any way.

Ficheros Crea el siguiente fichero:

– %WINDIR%\svchost.exe Además, el fichero es ejecutado después de haber sido creado. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: W32/Hidrag.a

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Type"=dword:00000010
   • "Start"=dword:00000002
   • "ErrorControl"=dword:00000000
   • "ImagePath"="%WINDIR%\svchost.exe"
   • "DisplayName"="Power Manager"
   • "ObjectName"="LocalSystem"
   • "Description"="Manages the power save features of the computer."

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager]
   • "Security"=%valores hex%

– [HKLM\SYSTEM\CurrentControlSet\Services\PowerManager\Enum]
   • "0"="Root\\LEGACY_POWERMANAGER\\0000"
   • "Count"=dword:00000001
   • "NextInstance"=dword:00000001

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• PowerManagerMutant

Serie de caracteres:
Además, incluye la siguiente serie de caracteres:
• Hidden Dragon virus. Born in a tropical swamp.

Para una breve descripción vea el resumen aquí.

Descripción insertada por Daniel Constantin el Tue, 03 Apr 2007 08:55 (GMT+1)
Descripción actualizada por Daniel Constantin el Tue, 03 Apr 2007 10:26 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver