El laboratorio de virus de Avira

TR/Crypt.XPACK.jezg

  • Nombre
    TR/Crypt.XPACK.jezg
  • Descubierto
    3/7/2016
  • Tipo
    Malware
  • Impact
    Medio 
  • Infecciones registradas
    Bajo 
  • Sistema operativo
    Windows
  • Versión VDF
    7.12.101.164 (2016-06-27 18:35)

El término 'TR' hace referencia a un troyano que es capaz de espiar datos, violar su privacidad y realizar modificaciones no deseadas en el sistema.

  • VDF
    7.12.101.164 (2016-06-27 18:35)
  • Archivos
    Archivos que crea:
    • %TEMPDIR%\nsz30.tmp
    • %TEMPDIR%\nso31.tmp
    • %TEMPDIR%\nso32.tmp
    • %TEMPDIR%\nso32.tmp\System.dll
    • %APPDATA%\RoundAlienage.x
    • %APPDATA%\glib20.mo
    • %APPDATA%\dsc_health_good_tile.png
    • %APPDATA%\B5pc-UCS2
    • %APPDATA%\17.svg
    • %APPDATA%\Dawson_Creek
    • %APPDATA%\14.png
    • %APPDATA%\bool.js
    • %APPDATA%\AMT.zdct
    • %APPDATA%\Bl 172 orange 423 gray.ADO
    • %APPDATA%\GMT-11
    • %APPDATA%\contact.properties
    • %APPDATA%\EmbeddingExampleXML2PDF.png
    • %APPDATA%\glosslist.as.blocks.xml
    • %APPDATA%\callBackCallBack.c
    • %APPDATA%\Barbados
    • %APPDATA%\60-latin.conf
    • %APPDATA%\buildMenu.jsx
    • %APPDATA%\45-latin.conf
    • %APPDATA%\f3.png
    • %APPDATA%\avalon-framework.NOTICE.TXT
    • %APPDATA%\CMYK wm.ADO
    • %APPDATA%\app_updater_smartbutton_down.png
    • %APPDATA%\default.image.width.xml
    • %APPDATA%\Jaundice.3
    • %APPDATA%\Services.dll
    • %USERPROFILE%\Start Menu\Programs\Startup\rasphone.lnk
    • %TEMPDIR%\nsy33.tmp
    • %TEMPDIR%\nsy34.tmp
    • %TEMPDIR%\nso35.tmp
    • %TEMPDIR%\nso35.tmp\System.dll
    • %temporary internet files%\Content.IE5\QH9ZEEV0\json[1]
    • %APPDATA%\# DECRYPT MY FILES #.html
    • %APPDATA%\# DECRYPT MY FILES #.url
    • %APPDATA%\# DECRYPT MY FILES #.vbs
    • %APPDATA%\# DECRYPT MY FILES #.txt
    • %TEMPDIR%\# DECRYPT MY FILES #.html
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\VMware\Compatibility\virtual\# DECRYPT MY FILES #.html
    • %TEMPDIR%\# DECRYPT MY FILES #.txt
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\VMware\Compatibility\virtual\# DECRYPT MY FILES #.txt
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\VMware\Compatibility\virtual\# DECRYPT MY FILES #.url
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\VMware\Compatibility\virtual\# DECRYPT MY FILES #.vbs
    • %TEMPDIR%\# DECRYPT MY FILES #.url
    • %TEMPDIR%\# DECRYPT MY FILES #.vbs
    • %DISKDRIVE%\totalcmd\# DECRYPT MY FILES #.html
    • %USERPROFILE%\# DECRYPT MY FILES #.html
    • %USERPROFILE%\# DECRYPT MY FILES #.txt
    • %DISKDRIVE%\totalcmd\# DECRYPT MY FILES #.txt
    • %DISKDRIVE%\totalcmd\# DECRYPT MY FILES #.url
    • %DISKDRIVE%\totalcmd\# DECRYPT MY FILES #.vbs
    • %USERPROFILE%\# DECRYPT MY FILES #.url
    • %USERPROFILE%\# DECRYPT MY FILES #.vbs
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\# DECRYPT MY FILES #.txt
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\# DECRYPT MY FILES #.html
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\# DECRYPT MY FILES #.url
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\# DECRYPT MY FILES #.vbs
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Sun\Java\Java Update\# DECRYPT MY FILES #.html
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Sun\Java\Java Update\# DECRYPT MY FILES #.txt
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Sun\Java\Java Update\# DECRYPT MY FILES #.url
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Sun\Java\Java Update\# DECRYPT MY FILES #.vbs
    • %APPDATA%\Adobe\Acrobat\9.0\# DECRYPT MY FILES #.html
    • %APPDATA%\Adobe\Acrobat\9.0\# DECRYPT MY FILES #.txt
    • %APPDATA%\Adobe\Acrobat\9.0\# DECRYPT MY FILES #.url
    • %APPDATA%\Adobe\Acrobat\9.0\JavaScripts\# DECRYPT MY FILES #.html
    • %APPDATA%\Adobe\Acrobat\9.0\# DECRYPT MY FILES #.vbs
    • %APPDATA%\Adobe\Acrobat\9.0\JavaScripts\# DECRYPT MY FILES #.txt
    • %APPDATA%\Adobe\Acrobat\9.0\JavaScripts\# DECRYPT MY FILES #.url
    • %APPDATA%\Adobe\Acrobat\9.0\JavaScripts\# DECRYPT MY FILES #.vbs
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Adobe\Updater6\# DECRYPT MY FILES #.html
    • %USERPROFILE%\Local Settings\History\History.IE5\MSHist012013120220131203\# DECRYPT MY FILES #.html
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Adobe\Updater6\# DECRYPT MY FILES #.txt
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Adobe\Updater6\# DECRYPT MY FILES #.url
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Adobe\Updater6\# DECRYPT MY FILES #.vbs
    • %USERPROFILE%\Local Settings\History\History.IE5\MSHist012013120220131203\# DECRYPT MY FILES #.txt
    • %USERPROFILE%\Local Settings\History\History.IE5\MSHist012013120220131203\# DECRYPT MY FILES #.url
    • %USERPROFILE%\Local Settings\History\History.IE5\MSHist012013120220131203\# DECRYPT MY FILES #.vbs
    Copias de sí mismo que crea:
    • %APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe
    Archivos que cambia:
    • %APPDATA%\RoundAlienage.x
    • %APPDATA%\glib20.mo
    • %APPDATA%\dsc_health_good_tile.png
    • %APPDATA%\B5pc-UCS2
    • %APPDATA%\17.svg
    • %APPDATA%\Dawson_Creek
    • %APPDATA%\14.png
    • %APPDATA%\bool.js
    • %APPDATA%\AMT.zdct
    • %APPDATA%\Bl 172 orange 423 gray.ADO
    • %APPDATA%\GMT-11
    • %APPDATA%\contact.properties
    • %APPDATA%\EmbeddingExampleXML2PDF.png
    • %APPDATA%\glosslist.as.blocks.xml
    • %APPDATA%\callBackCallBack.c
    • %APPDATA%\Barbados
    • %APPDATA%\60-latin.conf
    • %APPDATA%\buildMenu.jsx
    • %APPDATA%\45-latin.conf
    • %APPDATA%\f3.png
    • %APPDATA%\avalon-framework.NOTICE.TXT
    • %APPDATA%\CMYK wm.ADO
    • %APPDATA%\app_updater_smartbutton_down.png
    • %APPDATA%\default.image.width.xml
    • %APPDATA%\Jaundice.3
    • %APPDATA%\Services.dll
    • %temporary internet files%\Content.IE5\index.dat
    • %USERPROFILE%\Cookies\index.dat
    • %USERPROFILE%\Local Settings\History\History.IE5\index.dat
    • %APPDATA%\17.svg
    • %APPDATA%\14.png
    • %APPDATA%\app_updater_smartbutton_down.png
    • %APPDATA%\avalon-framework.NOTICE.TXT
    • %APPDATA%\bool.js
    • %APPDATA%\callBackCallBack.c
    • %APPDATA%\dsc_health_good_tile.png
    • %APPDATA%\default.image.width.xml
    • %APPDATA%\EmbeddingExampleXML2PDF.png
    • %APPDATA%\f3.png
    • %APPDATA%\glosslist.as.blocks.xml
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\VMware\Compatibility\virtual\wpa.bak
    • %TEMPDIR%\AdobeARM.log
    • %DISKDRIVE%\totalcmd\wincmd.ini
    • %USERPROFILE%\ntuser.ini
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
    • %TEMPDIR%\jusched.log
    • %TEMPDIR%\java_install_reg.log
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Sun\Java\Java Update\jaureglist.xml
    • %TEMPDIR%\AUCHECK_PARSER.txt
    • %TEMPDIR%\JAUReg.log
    • %TEMPDIR%\java_install.log
    • %TEMPDIR%\java_install_sp.log
    • %APPDATA%\Adobe\Acrobat\9.0\UserCache.bin
    • %APPDATA%\Adobe\Acrobat\9.0\JavaScripts\glob.settings.js
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Adobe\Updater6\AdobeESDGlobalApps.xml
    • %USERPROFILE%\Local Settings\History\History.IE5\MSHist012013120220131203\index.dat
    • %TEMPDIR%\uxeventlog.txt
    • %TEMPDIR%\dd_dotNetFx40_Full_setup_decompression_log.txt
    • %TEMPDIR%\dd_dotnetfx35install.txt
    • %TEMPDIR%\Microsoft .NET Framework 4 Setup_20120113_132627234.html
    • %TEMPDIR%\ASPNETSetup_00003.log
    • %TEMPDIR%\dd_wcf_CA_smci_20120113_113219_468.txt
    Archivos a los que cambia el nombre:
    • %APPDATA%\17.svg
    • %APPDATA%\14.png
    • %APPDATA%\app_updater_smartbutton_down.png
    • %APPDATA%\avalon-framework.NOTICE.TXT
    • %APPDATA%\bool.js
    • %APPDATA%\callBackCallBack.c
    • %APPDATA%\dsc_health_good_tile.png
    • %APPDATA%\default.image.width.xml
    • %APPDATA%\EmbeddingExampleXML2PDF.png
    • %APPDATA%\f3.png
    • %APPDATA%\glosslist.as.blocks.xml
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\VMware\Compatibility\virtual\wpa.bak
    • %TEMPDIR%\AdobeARM.log
    • %DISKDRIVE%\totalcmd\wincmd.ini
    • %USERPROFILE%\ntuser.ini
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat
    • %TEMPDIR%\jusched.log
    • %TEMPDIR%\java_install_reg.log
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Sun\Java\Java Update\jaureglist.xml
    • %TEMPDIR%\AUCHECK_PARSER.txt
    • %TEMPDIR%\JAUReg.log
    • %TEMPDIR%\java_install.log
    • %TEMPDIR%\java_install_sp.log
    • %APPDATA%\Adobe\Acrobat\9.0\UserCache.bin
    • %APPDATA%\Adobe\Acrobat\9.0\JavaScripts\glob.settings.js
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\Adobe\Updater6\AdobeESDGlobalApps.xml
    • %USERPROFILE%\Local Settings\History\History.IE5\MSHist012013120220131203\index.dat
    • %TEMPDIR%\uxeventlog.txt
    • %TEMPDIR%\dd_dotNetFx40_Full_setup_decompression_log.txt
    • %TEMPDIR%\dd_dotnetfx35install.txt
    • %TEMPDIR%\Microsoft .NET Framework 4 Setup_20120113_132627234.html
    • %TEMPDIR%\ASPNETSetup_00003.log
    • %TEMPDIR%\dd_wcf_CA_smci_20120113_113219_468.txt
  • Inyecciones
    • %SYSDIR%\services.exe{<-\RPC Control\ntsvcs}
    • %DISKDRIVE%\run\sample.exe
    • %SYSDIR%\svchost.exe{<-\RPC Control\epmapper}
    • %SYSDIR%\taskkill.exe{<-\RPC Control\OLEB51494A3725C4BE29F0A342DFBDF}
    • %APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe
    • %SYSDIR%\lsass.exe{<-\LsaAuthenticationPort}
    • %SYSDIR%\svchost.exe{<-\RPC Control\DNSResolver}
  • Registro
    Añade las siguientes entradas al registro:
    • [HKEY_CURRENT_USER\Printers\Defaults\{6B0DA0A5-A948-F32E-77AA-6853A6B95C7F}] "Component_01" = hex:4c,44,76,44,78,58,77,71,42,77,6f,4f,41,7a,68,71,61,78,59,71, 2b,53,6a,36,56,48,78,49,6c,6a,39,38,72,6a,6e,7a,76,52,52,5a,43,4c,36,48,2f, 71,6f,5a,34,6d,73,6c,5a,6c,51,50,58,71,46,44,62,79,6f,4e,4a,78,52,49,47,37, 6f,33,73,4d,7a,66,2f,4c,6c,34,4b,65,39,59,6f,50,45,38,46,5a,50,44,58,75,48, 65,75,64,71,37,...[344 bytes] "Component_00" = hex:9a,04,01,01,be,fc,5c,1b,40,02,00,00,01,00,00,00,d6,82,e5,fa, 9c,66,24,50,25,ce,18,33,4e,46,34,3f,b1,d7,05,34,44,8d,de,2a,11,8c,5c,df,5b, 25,00,92,fe,15,71,bb,e6,f3,9c,e1,bb,c0,4b,2e,09,0d,32,c3,30,52,bf,5f,a3,63, eb,97,da,ca,cc,ff,5f,9d,35,a6,75,66,92,3e,d2,72,75,ed,00,00,00,00,00,00,00, 00,00,00,00,00,...[160 bytes]
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "rasphone" = ""%APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe""
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] "rasphone" = ""%APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe""
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "Run" = ""%APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe""
    • [HKEY_CURRENT_USER\Software\Microsoft\Command Processor] "AutoRun" = ""%APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe""
    • [HKEY_CURRENT_USER\Printers\Defaults\{6B0DA0A5-A948-F32E-77AA-6853A6B95C7F}] "Installed" = dword:00000001
    • [HKEY_CURRENT_CONFIG\Software\Microsoft\windows\CurrentVersion\Internet Settings] "ProxyEnable" = dword:00000000
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "rasphone" = ""%APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe""
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] "rasphone" = ""%APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe""
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "Run" = ""%APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe""
    • [HKEY_CURRENT_USER\Software\Microsoft\Command Processor] "AutoRun" = ""%APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe""
    Modifica las siguientes entradas del registro:
    • [HKEY_CURRENT_USER\Control Panel\Desktop] "SCRNSAVE.EXE" = ""%APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe""
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "MigrateProxy" = dword:00000001 "ProxyEnable" = dword:00000000 ProxyServer = - ProxyOverride = - AutoConfigURL = -
    • [HKEY_CURRENT_USER\Control Panel\Desktop] "SCRNSAVE.EXE" = ""%APPDATA%\{B4403932-6D38-0A32-F7EC-AE4E9040E790}\rasphone.exe""
  • Solicitudes HTTP
    • ipinfo.*****io/json

Ayude a convertir la web en un lugar más seguro enviándonos archivos sospechosos o URL sospechosas para que los analicemos.

Enviar un archivo o una URL O Ir a Avira Answers

¿Por qué enviar un archivo sospechoso?

Si ha encontrado un archivo o un sitio web sospechoso que no está en nuestra base de datos, lo analizaremos y determinaremos si es dañino. Nuestros resultados se envían a continuación a millones de usuarios con la siguiente actualización de la base de datos de virus. Si tiene Avira, también recibirá esa actualización. ¿No tiene Avira? Obténgalo en nuestra página de inicio.

¿Qué es Avira Answers?

Es nuestra comunidad, activa y próspera, formada por profesionales técnicos y expertos independientes que trabajan juntos para resolver problemas técnicos. Es el lugar perfecto para plantear su pregunta a una comunidad de usuarios en su misma situación.