English
Deutsch
Français
Español
Italiano
Portal
Amenazas
Worm/Hakaglan.B
Búsqueda
Portal
Soporte
Soluciones
Productos
Descargas
Amenazas
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Compañía
Prensa
Socios
Newsletter
TechBlog
Worm/Hakaglan.B - Worm
Vea también
Resumen
Descripción completa
Estadísticas
How would you rate this information?
Worthless
Excellent
Nombre:
Worm/Hakaglan.B
Descubierto:
05/04/2007
Tipo:
Gusano
En circulación (ITW):
Sí
Número de infecciones comunicadas:
Bajo
Potencial de propagación:
Medio
Potencial dañino:
Medio
Fichero estático:
Sí
Tamaño:
268.216 Bytes
Suma de control MD5:
0D94f594bca6d09ab3423b962da0e9df
Versión del IVDF:
6.38.00.184
General
Métodos de propagación:
• Unidades de red mapeadas
• Messenger
Alias:
• Mcafee: Downloader-FL
• F-Secure: Worm.Win32.AutoIt.c
• Sophos: W32/SillyFDC-G
• Grisoft: Worm/Autoit.X
• Eset: Win32/Hakaglan.B
• Bitdefender: Win32.Worm.Sohanat.AB
Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Reduce las opciones de seguridad
• Modificaciones en el registro
• Posibilita el acceso no autorizado al ordenador
Ficheros
Se copia a sí mismo en las siguientes ubicaciones:
•
%SYSDIR%
\RVHOST.exe
•
%WINDIR%
\RVHOST.exe
•
\New Folder.exe
Crea el siguiente fichero:
–
%WINDIR%
\tasks\At1.job Tarea planificada que ejecuta el malware en tiempos predefinidos.
Registro
Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• Yahoo Messengger =
%SYSDIR%
\RVHOST.exe
Modifica las siguientes claves del registro:
– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valor anterior:
• Shell = Explorer.exe
Nuevo valor:
• Shell = Explorer.exe RVHOST.exe
– [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
Nuevo valor:
• AtTaskMaxHours = 0
Desactivar Regedit y el Administrador de Tareas:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
Nuevo valor:
• DisableTaskMgr = 1
• DisableRegistryTools = 1
Varias opciones de configuración en Explorer:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Nuevo valor:
• NofolderOptions = 1
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\
WorkgroupCrawler\Shares]
Nuevo valor:
• shared = \\
%nombre del ordenador%
\
\New Folder.exe
Messenger
Se propaga por Messenger. Sus características están descritas a continuación:
– Yahoo Messenger
A:
Todos los contactos online de la lista de contactos.
Mensaje
The sent message looks like the following: (es)
•
%recogido del Internet%
El mensaje recibido puede tener la apariencia siguiente:
Backdoor (Puerta trasera)
Servidor contactado:
Las siguientes:
• http://nhatquanglan2.0catch.com/**********
• http://nhatquanglan2.0catch.com/**********
• http://www.freewebs.com/nhattruongquang/**********
De esta forma obtiene el control remoto. La respuesta del servidor queda escrita en el fichero:
%SYSDIR%
\settings.ini
Capabilidades de control remoto:
• Descargar fichero
• Ejecutar fichero
• relacionado al spam
• Visitar un sitio web
Para una breve descripción vea el resumen
aquí
.
Descripción insertada por Andrei Gherman el Fri, 14 Mar 2008 09:02 (GMT+1)
Descripción actualizada por Andrei Gherman el Fri, 14 Mar 2008 10:00 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« volver
Imprimir esta página
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Recibir de forma sencilla noticias actuales de Avira como
Detecta y elimina determinado malware y sus variantes.
Descargar aquí
Integrar la
Advertencia de virus
en su sitio web
© 2009 Avira GmbH
Copyright
|
Protección de datos
|
Mapa web
|
Feedback
|
Pie de imprenta
|
FAQ
|
Contacto
Amenazas 
Imprimir esta página
.gif)
