El laboratorio de virus de Avira

TR/Dldr.Agent.taaa

  • Nombre
    TR/Dldr.Agent.taaa
  • Descubierto
    29/5/2016
  • Tipo
    Malware
  • Impact
    Medio 
  • Infecciones registradas
    Bajo 
  • Sistema operativo
    Windows
  • Versión VDF
    7.12.95.66 (2016-05-28 13:26)

El término 'TR' hace referencia a un troyano que es capaz de espiar datos, violar su privacidad y realizar modificaciones no deseadas en el sistema.

El término 'Dldr' hace referencia, en un programa malicioso, a aquella parte que descarga otro archivo malicioso de Internet.

  • VDF
    7.12.95.66 (2016-05-28 13:26)
  • Archivos
    Copias de sí mismo que crea:
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Logic Handler\set.exe
  • Registro
    Añade las siguientes entradas al registro:
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\backlh] "Type" = dword:00000010 "Start" = dword:00000002 "ErrorControl" = dword:00000001 "ImagePath" = "%DISKDRIVE%\Documents and Settings\All Users\Application Data\Logic Handler\set.exe" "DisplayName" = "Background Logic Handler" "ObjectName" = "LocalSystem" "Description" = "Background Logic Handler"
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\backlh\Security] "Security" = %hex values%
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\backlh\Enum] "0" = "Root\LEGACY_BACKLH\0000" "Count" = dword:00000001 "NextInstance" = dword:00000001
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent] @ = dword:00000011
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Microsoft H.323 Telephony Service Provider] "EventMessageFile" = "%WINDIR%\System32\h323.tsp" "TypesSupported" = dword:00000007
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application\Service1] "EventMessageFile" = "%WINDIR%\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll"
    Modifica las siguientes entradas del registro:
    • [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders] "AppData" = "%DISKDRIVE%\Documents and Settings\LocalService\Application Data" "Cache" = "%DISKDRIVE%\Documents and Settings\LocalService\Local Settings\Temporary Internet Files"
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application] "Sources" = "JavaQuickStarterService;WSH;WMIAdapter;WMI.NET Provider Extension;WmdmPmSN;WinMgmt;Winlogon;Windows Product Activation;Windows 3.1 Migration;WebClient;VSSetup;VSS;vmtools;vmStatsProvider;VBRuntime;Userinit;Userenv;Tlntsvr;System.ServiceModel.Install 3.0.0.0;System.ServiceModel 4.0.0.0;System.ServiceModel 3.0.0.0;System.Runtime.Serialization 4.0.0.0;System.Runtime.Serialization 3.0.0.0;System.IO.Log 4.0.0.0;System.IO.Log 3.0.0.0;System.IdentityModel 4.0.0.0;System.IdentityModel 3.0.0.0;SysmonLog;Starter;SpoolerCtrs;Software Restriction Policies;Software Installation;ServiceModel Audit 4.0.0.0;ServiceModel Audit 3.0.0.0;SecurityCenter;SclgNtfy;SceSrv;SceCli;safrslv;SAFrdms;RPC;Remote Assistance;PerfProc;PerfOS;PerfNet;Perfmon;Perflib;PerfDisk;Perfctrs;Offline Files;Oakley;ntbackup;MSSQLSERVER/MSDE;MSSHA;MsiInstaller;MSDTC Client;MSDTC;mnmsrvc;Microsoft.Transactions.Bridge 4.0.0.0;Microsoft.Transactions.Bridge 3.0.0.0;Microsoft H.323 Telephony Service Provider;Microsoft (R) Visual C# 2005 Compiler;LoadPerf;HelpSvc;Folder Redirection;File Deployment;EventSystem;ESENT;DrWatson;Dot3Svc;DiskQuota;crypt32;COM+;COM;Ci;Chkdsk;CardSpace 4.0.0.0;CardSpace 3.0.0.0;AutoEnrollment;Autochk;ASP.NET 4.0.30319.0;ASP.NET 2.0.50727.0;ASP.NET 1.1.4322.0;Application Management;Application Hang;Application Error;.NET Runtime Optimization Service;.NET Runtime 4.0 Error Reporting;.NET Runtime 2.0 Error Reporting;.NET Runtime;Application;Service1;"
    • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application] "Sources" = "Service1;JavaQuickStarterService;WSH;WMIAdapter;WMI.NET Provider Extension;WmdmPmSN;WinMgmt;Winlogon;Windows Product Activation;Windows 3.1 Migration;WebClient;VSSetup;VSS;vmtools;vmStatsProvider;VBRuntime;Userinit;Userenv;Tlntsvr;System.ServiceModel.Install 3.0.0.0;System.ServiceModel 4.0.0.0;System.ServiceModel 3.0.0.0;System.Runtime.Serialization 4.0.0.0;System.Runtime.Serialization 3.0.0.0;System.IO.Log 4.0.0.0;System.IO.Log 3.0.0.0;System.IdentityModel 4.0.0.0;System.IdentityModel 3.0.0.0;SysmonLog;Starter;SpoolerCtrs;Software Restriction Policies;Software Installation;ServiceModel Audit 4.0.0.0;ServiceModel Audit 3.0.0.0;SecurityCenter;SclgNtfy;SceSrv;SceCli;safrslv;SAFrdms;RPC;Remote Assistance;PerfProc;PerfOS;PerfNet;Perfmon;Perflib;PerfDisk;Perfctrs;Offline Files;Oakley;ntbackup;MSSQLSERVER/MSDE;MSSHA;MsiInstaller;MSDTC Client;MSDTC;mnmsrvc;Microsoft.Transactions.Bridge 4.0.0.0;Microsoft.Transactions.Bridge 3.0.0.0;Microsoft H.323 Telephony Service Provider;Microsoft (R) Visual C# 2005 Compiler;LoadPerf;HelpSvc;Folder Redirection;File Deployment;EventSystem;ESENT;DrWatson;Dot3Svc;DiskQuota;crypt32;COM+;COM;Ci;Chkdsk;CardSpace 4.0.0.0;CardSpace 3.0.0.0;AutoEnrollment;Autochk;ASP.NET 4.0.30319.0;ASP.NET 2.0.50727.0;ASP.NET 1.1.4322.0;Application Management;Application Hang;Application Error;.NET Runtime Optimization Service;.NET Runtime 4.0 Error Reporting;.NET Runtime 2.0 Error Reporting;.NET Runtime;Application;"
  • Solicitudes HTTP
    • madmax.*****picks.com/MaxMind.asmx/GetGeoInfo
    • stats.*****picks.com/StatisticsService.svc/V1/JSON/LogEvent
    • stats.*****hb.com/StateStatisticsService.svc/V1/JSON/GetDistributorIdFromNameHttpGet?distributorName=defaultext
  • Alias
    Dr. Web: Trojan.DownLoader21.42693

Ayude a convertir la web en un lugar más seguro enviándonos archivos sospechosos o URL sospechosas para que los analicemos.

Enviar un archivo o una URL O Ir a Avira Answers

¿Por qué enviar un archivo sospechoso?

Si ha encontrado un archivo o un sitio web sospechoso que no está en nuestra base de datos, lo analizaremos y determinaremos si es dañino. Nuestros resultados se envían a continuación a millones de usuarios con la siguiente actualización de la base de datos de virus. Si tiene Avira, también recibirá esa actualización. ¿No tiene Avira? Obténgalo en nuestra página de inicio.

¿Qué es Avira Answers?

Es nuestra comunidad, activa y próspera, formada por profesionales técnicos y expertos independientes que trabajan juntos para resolver problemas técnicos. Es el lugar perfecto para plantear su pregunta a una comunidad de usuarios en su misma situación.