El laboratorio de virus de Avira

TR/Crypt.XPACK.394447

  • Nombre
    TR/Crypt.XPACK.394447
  • Descubierto
    21/2/2016
  • Tipo
    Malware
  • Impact
    Medio 
  • Infecciones registradas
    Bajo 
  • Sistema operativo
    Windows
  • Versión VDF
    7.12.45.2 (2016-01-12 16:18)

El término 'TR' hace referencia a un troyano que es capaz de espiar datos, violar su privacidad y realizar modificaciones no deseadas en el sistema.

Los usuarios con malas intenciones o los programas maliciosos pueden utilizar el archivo para disminuir el nivel de seguridad.

Este programa malicioso puede robar información confidencial.

Sistema operativo: Microsoft Windows.

  • VDF
    7.12.45.2 (2016-01-12 16:18)
  • Alias
    Avast: Win32:Malware-gen
    AVG: Generic_s.GQB
    Dr. Web: Trojan.PWS.Siggen1.46533
    Microsoft: Ransom:Win32/Teerac
    G Data: Trojan.GenericKD.3037998
    Kaspersky Lab: Backdoor.Win32.Androm.jdjw
    Bitdefender: Trojan.GenericKD.3037998
    ESET: Win32/Injector.CSEF trojan
  • Archivos
    Archivos que crea:
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\ufawehehokasajog\01000000
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\ufawehehokasajog\02000000
    • %DISKDRIVE%\Documents and Settings\All Users\Application Data\ufawehehokasajog\00000000
    • %APPDATA%\Microsoft\Address Book\%USERNAME%.wab
    Copias de sí mismo que crea:
    • %WINDIR%\azyhuzwl.exe
  • Inyecciones
    • %WINDIR%\explorer.exe
  • Registro
    Añade las siguientes entradas al registro:
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "irizetuv" = ""%WINDIR%\azyhuzwl.exe""
    • [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter] "EnabledV8" = dword:00000000 "EnabledV9" = dword:00000000
    • [HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4\Wab File Name] @ = "%APPDATA%\Microsoft\Address Book\%USERNAME%.wab"
    • [HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4] "OlkContactRefresh" = dword:00000000 "OlkFolderRefresh" = dword:00000000
    • [HKEY_CURRENT_USER\Identities\{65A99F8D-8695-4BA1-B429-990AC376CFBA}] "Identity Ordinal" = dword:00000001
    • [HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts] "AssociatedID" = %hex values% "PreConfigVer" = dword:00000004 "PreConfigVerNTDS" = dword:00000001
    • [HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager] "Server ID" = dword:00000004 "Default LDAP Account" = "Active Directory GC"
    • [HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\Active Directory GC] "LDAP Server ID" = dword:00000000 "Account Name" = "Active Directory" "LDAP Server" = "NULL" "LDAP Search Return" = dword:00000064 "LDAP Timeout" = dword:0000003c "LDAP Authentication" = dword:00000002 "LDAP Simple Search" = dword:00000000 "LDAP Bind DN" = dword:00000000 "LDAP Port" = dword:00000cc4 "LDAP Resolve Flag" = dword:00000001 "LDAP Secure Connection" = dword:00000000 "LDAP User Name" = "NULL" "LDAP Search Base" = "NULL"
    • [HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\Bigfoot] "LDAP Server ID" = dword:00000001 "Account Name" = "Bigfoot Internet Directory Service" "LDAP Server" = "ldap.bigfoot.com" "LDAP URL" = "http://www.bigfoot.com" "LDAP Search Return" = dword:00000064 "LDAP Timeout" = dword:0000003c "LDAP Authentication" = dword:00000000 "LDAP Simple Search" = dword:00000001 "LDAP Logo" = "%ProgramFiles%\Common Files\Services\bigfoot.bmp"
    • [HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\VeriSign] "LDAP Server ID" = dword:00000002 "Account Name" = "VeriSign Internet Directory Service" "LDAP Server" = "directory.verisign.com" "LDAP URL" = "http://www.verisign.com" "LDAP Search Return" = dword:00000064 "LDAP Timeout" = dword:0000003c "LDAP Authentication" = dword:00000000 "LDAP Search Base" = "NULL" "LDAP Simple Search" = dword:00000001 "LDAP Logo" = "%ProgramFiles%\Common Files\Services\verisign.bmp"
    • [HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts\WhoWhere] "LDAP Server ID" = dword:00000003 "Account Name" = "WhoWhere Internet Directory Service" "LDAP Server" = "ldap.whowhere.com" "LDAP URL" = "http://www.whowhere.com" "LDAP Search Return" = dword:00000064 "LDAP Timeout" = dword:0000003c "LDAP Authentication" = dword:00000000 "LDAP Simple Search" = dword:00000001 "LDAP Logo" = "%ProgramFiles%\Common Files\Services\whowhere.bmp"
    • [HKEY_CURRENT_USER\Software\Microsoft\WAB] "Server ID" = dword:000001f5
    Modifica las siguientes entradas del registro:
    • [HKEY_CURRENT_USER\Identities] Changing = - IncomingID = - OutgoingID = - "Identity Ordinal" = dword:00000002

Ayude a convertir la web en un lugar más seguro enviándonos archivos sospechosos o URL sospechosas para que los analicemos.

Enviar un archivo o una URL O Ir a Avira Answers

¿Por qué enviar un archivo sospechoso?

Si ha encontrado un archivo o un sitio web sospechoso que no está en nuestra base de datos, lo analizaremos y determinaremos si es dañino. Nuestros resultados se envían a continuación a millones de usuarios con la siguiente actualización de la base de datos de virus. Si tiene Avira, también recibirá esa actualización. ¿No tiene Avira? Obténgalo en nuestra página de inicio.

¿Qué es Avira Answers?

Es nuestra comunidad, activa y próspera, formada por profesionales técnicos y expertos independientes que trabajan juntos para resolver problemas técnicos. Es el lugar perfecto para plantear su pregunta a una comunidad de usuarios en su misma situación.