English
Deutsch
Français
Español
Italiano
Portal
Amenazas
TR/PSW.Papras.JN
Búsqueda
Portal
Soporte
Soluciones
Productos
Descargas
Amenazas
Statistics
Phishing Worldmap
VDF History
Virus Science
Submit Sample
Security News
Viruses In the Wild
Compañía
Prensa
Socios
Newsletter
TechBlog
TR/PSW.Papras.JN - Trojan
Vea también
Resumen
Descripción completa
Estadísticas
How would you rate this information?
Worthless
Excellent
Nombre:
TR/PSW.Papras.JN
Descubierto:
27/03/2009
Tipo:
Troyano
En circulación (ITW):
Sí
Número de infecciones comunicadas:
Bajo
Potencial de propagación:
Bajo
Potencial dañino:
Medio-bajo
Fichero estático:
Sí
Tamaño:
66.048 Bytes
Suma de control MD5:
8c00c01185fd4cb20d8a91b307e7e39f
Versión del IVDF:
7.01.02.228
General
Método de propagación:
• No tiene rutina propia de propagación
Alias:
• Symantec: Infostealer.Snifula.C
• Kaspersky: Trojan-PSW.Win32.Papras.jn
• F-Secure: Trojan-PSW.Win32.Papras.jn
• Sophos: Troj/Zbot-BS
• Eset: Win32/PSW.Papras trojan
• Bitdefender: Trojan.Inject.UD
Plataformas / Sistemas operativos:
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003
Efectos secundarios:
• Suelta un fichero
• Suelta un fichero dañino
• Modificaciones en el registro
• Roba informaciones
Ficheros
Se copia a sí mismo en la siguiente ubicación:
•
%WINDIR%
\9129837.exe
Intenta ejecutar los ficheros siguientes:
– Ejecuta uno de los ficheros siguientes:
•
%WINDIR%
\new_drv.sys
Empleado para ocultar el proceso en el Administrador de tareas. Detectado como:
TR/Rootkit.Gen
– Ejecuta uno de los ficheros siguientes:
•
%directorio donde se ejecuta el programa viral%
\abcdefg.bat
Este fichero batch es empleado para eliminar un fichero.
Registro
Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• "ttool"="
%WINDIR%
\\9129837.exe"
Añade la siguiente clave al registro:
– [HKCU\Software\Microsoft\InetData]
• "k1"=dword:
%valores hex%
• "k2"=dword:
%valores hex%
• "version"="5"
Backdoor (Puerta trasera)
Abre el siguiente puerto:
en un puerto TCP aleatorio para proporcionar capabilidades de backdoor.
Servidor contactado:
El siguiente:
• http://91.207.61.**********/cgi-bin/cmd.cgi?user_id=
%número%
&version_id=5&passphrase=
%serie de caracteres aleatorios%
&socks=
%puerto abierto%
&version=
&crc=00000000
De esta forma obtiene el control remoto.
Envía informaciones acerca de:
• Hardware
• Puerto abierto
Datos del fichero
Lenguaje de programación:
El programa de malware ha sido escrito en Delphi.
Para una breve descripción vea el resumen
aquí
.
Descripción insertada por Andreas Feuerstein el Wed, 08 Apr 2009 12:36 (GMT+1)
Descripción actualizada por Andreas Feuerstein el Wed, 08 Apr 2009 13:28 (GMT+1)
»
About Malware
»
About Phishing
»
Viruses In the Wild
« volver
Imprimir esta página
TR/Crypt.XPACK.Gen
HEUR/HTML.Malware
HTML/Infected.WebPage.Gen
ADSPY/AdSpy.Gen
HTML/Crypted.Gen
W32/Induc.Gen
TR/ATRAPS.Gen2
TR/Click.Yabector.8857.2
TR/PSW.Magania.auv
TR/Dldr.Bredolab.AX
Recibir de forma sencilla noticias actuales de Avira como
Detecta y elimina determinado malware y sus variantes.
Descargar aquí
Integrar la
Advertencia de virus
en su sitio web
© 2009 Avira GmbH
Copyright
|
Protección de datos
|
Mapa web
|
Feedback
|
Pie de imprenta
|
FAQ
|
Contacto
Amenazas 
Imprimir esta página
.gif)
