Nombre:TR/Skelf.A
Descubierto:17/05/2012
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Medio-alto
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:34.477 Bytes
Suma de control MD5:78EE9C318793ADB145A5ABDC07DB8F1B
Versión del VDF:7.11.30.90 - jueves, 17 de mayo de 2012
Versión del IVDF:7.11.30.90 - jueves, 17 de mayo de 2012

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Eset: Win32/Trustezeb.B
   •  DrWeb: Trojan.Winlock.5908


Plataformas / Sistemas operativos:
   • Windows 2000
   • Windows XP
   • Windows 2003
   • Windows Vista
   • Windows 7


Efectos secundarios:
   • Reduce las opciones de seguridad
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %TEMPDIR%\%serie de caracteres aleatorios%.pre
   • %SYSDIR%\%serie de caracteres aleatorios% .exe
   • %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe



Elimina la copia inicial del virus.

 Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • %serie de caracteres aleatorios% = %APPDATA%\%serie de caracteres aleatorios%\%serie de caracteres aleatorios%.exe

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
   • "Userinit"="%SYSDIR%\userinit.exe,%SYSDIR%\%serie de caracteres aleatorios%.exe,"



Elimina la siguiente clave del registro, incluyendo todos sus valores y subclaves:
   • [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]



Añade las siguientes claves al registro:

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\msconfig.exe
   • "Debugger"="%serie de caracteres aleatorios%.EXE"

– HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
   Image File Execution Options\regedit.exe
   • "Debugger"="%serie de caracteres aleatorios%.EXE"



Modifica las siguientes claves del registro:

Desactivar Regedit y el Administrador de Tareas:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
   Nuevo valor:
   • "DisableTaskMgr"=dword:00000001
   • "DisableRegedit"=dword:00000001

– HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
   Nuevo valor:
   • "DisableRegistryTools"=dword:00000001
   • "DisableRegedit"=dword:00000001
   • "DisableTaskMgr"=dword:00000001

 Inyectar el código viral en otros procesos – Se inyecta como un hilo de ejecución remoto en un proceso.

    Nombre del proceso:
   • %SYSDIR%\ctfmon.exe

   Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • UPX


Codificación:
Codificado: el código del virus dentro del archivo está codificado.

Description insérée par Ana Maria Niculescu le jeudi 17 mai 2012
Description mise à jour par Andrei Gherman le jeudi 17 mai 2012

Retour . . . .
 
 
 
 

© 2013 Avira Operations GmbH & Co. KG. Tous droits réservés.

Mon Compte

https:// Cet écran est crypté pour votre sécurité.