Ventajas del Internet .com http://www.ventajasdelinternet.com Enciclopedia sobre el Internet, Facebook, Youtube y otras aplicaciones web Mon, 16 May 2011 00:06:47 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 Virus TR/Dldr.FakeAV.A.3 – Trojan eliminar, curar, borrar, antivirus http://www.ventajasdelinternet.com/virus-trdldr-fakeav-a-3-trojan-eliminar-curar-borrar-antivirus/ http://www.ventajasdelinternet.com/virus-trdldr-fakeav-a-3-trojan-eliminar-curar-borrar-antivirus/#comments Mon, 16 May 2011 00:06:47 +0000 Ángel http://www.ventajasdelinternet.com/virus-trdldr-fakeav-a-3-trojan-eliminar-curar-borrar-antivirus/ TR/Dldr.FakeAV.A.3
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Bajo
Fichero estático: Sí
Tamaño: 622.592 Bytes
Suma de control MD5: a92e254f27c3406eb53a8bfd13f42a0a
Versión del VDF: 6.34.00.199
Versión del IVDF: 6.34.00.199

General• No tiene rutina propia de propagación


•Mcafee: Winfixer

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga un fichero
• Suelta un fichero

Ficheros Crea el siguiente fichero:

– %APPDATA%WinAntiSpyware 2005Logsupdate.log Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:
• Wed May 30 08:06:01 2007 ******* Updater engine started *******
Wed May 30 08:06:01 2007
Wed May 30 08:06:01 2007 Command line is:
Wed May 30 08:06:01 2007 “c:xxxtr.exe”
Wed May 30 08:06:01 2007 Engine thread was started.
Wed May 30 08:06:02 2007 Processing variables file: updater.dat
Wed May 30 08:06:02 2007 Warning: couldn’t read ActivationCode from
HKLMSoftwareWinSoftwareWinAntiSpyware 2005ActivationCode
Wed May 30 08:06:02 2007 Engine is exiting with return code of -3.
Wed May 30 08:06:02 2007 ******* Updater engine finished *******
Wed May 30 08:06:02 2007

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.


Fuentes

  1. avira.com
]]> http://www.ventajasdelinternet.com/virus-trdldr-fakeav-a-3-trojan-eliminar-curar-borrar-antivirus//feed 0 Virus TR/Dldr.Exchanger.W – Trojan eliminar, curar, borrar, antivirus http://www.ventajasdelinternet.com/virus-trdldr-exchanger-w-trojan-eliminar-curar-borrar-antivirus/ http://www.ventajasdelinternet.com/virus-trdldr-exchanger-w-trojan-eliminar-curar-borrar-antivirus/#comments Sun, 15 May 2011 05:19:52 +0000 Ángel http://ventajasdelinternet.com/virus-trdldr-exchanger-w-trojan-eliminar-curar-borrar-antivirus/ TR/Dldr.Exchanger.W
Fecha de creación: 23/09/2008
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 30.208 Bytes
Suma de control MD5: 5999ab88560bcb054e73e4f7a4e7f1e7
Versión del IVDF: 7.00.06.199

General Método de propagación:
• Autorun feature (es)


•Panda: Trj/Agent.MFB
•Eset: Win32/AutoRun.FakeAlert.M
•Bitdefender: Win32.Worm.Autorun.OG

Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga un fichero dañino
• Suelta ficheros dañinos
• Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
• %PROGRAM FILES%\Microsoft Common\svchost.exe
• \system.exe

Sobrescribe un fichero.
– %SYSDIR%\drivers\aec.sys

Elimina la copia inicial del virus.

Crea el siguiente fichero:

– \autorun.inf Este es un fichero de texto que no presenta riesgo alguno e incluye el siguiente contenido:


Intenta descargar un fichero:

– Las direcciones son las siguientes:
• http://druzg.ru/**********?v=1&rs=4230819808&n=1&uid=1
• http://drizg.ru/**********?v=1&rs=4230819808&n=1&uid=1
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.
Registro Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
Image File Execution Options\explorer.exe]
• “Debugger”=”%PROGRAM FILES%\Microsoft Common\svchost.exe”

Inyectar el código viral en otros procesos – Se inyecta a sí mismo como hilo de ejecución remoto en un proceso.

Los siguientes procesos:
• explorer.exe
• svchost.exe

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.


Fuentes

  1. avira.com
]]> http://www.ventajasdelinternet.com/virus-trdldr-exchanger-w-trojan-eliminar-curar-borrar-antivirus//feed 0 Virus TR/Dldr.Exchanger.OQ – Trojan eliminar, curar, borrar, antivirus http://www.ventajasdelinternet.com/virus-trdldr-exchanger-oq-trojan-eliminar-curar-borrar-antivirus/ http://www.ventajasdelinternet.com/virus-trdldr-exchanger-oq-trojan-eliminar-curar-borrar-antivirus/#comments Sun, 15 May 2011 05:19:52 +0000 Ángel http://ventajasdelinternet.com/virus-trdldr-exchanger-oq-trojan-eliminar-curar-borrar-antivirus/ TR/Dldr.Exchanger.OQ
Fecha de creación: 18/08/2008
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Medio
Fichero estático: Sí
Tamaño: 72.704 Bytes
Suma de control MD5: 598e57c048f4ee0e550aa66324a410c4
Versión del IVDF: 7.00.06.28

General Método de propagación:
• No tiene rutina propia de propagación


•Mcafee: BackDoor-DNM trojan
•Kaspersky: Trojan-Downloader.Win32.Exchanger.oq
•F-Secure: Backdoor:W32/Hupigon.OEA
•Panda: Trj/Dropper.WW
•Grisoft: I-Worm/Nuwar.W
•VirusBuster: Trojan.Agent.DVUQ
•Eset: a variant of Win32/Agent.ETH trojan

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga ficheros dañinos
• Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\CdbgEvtSvc.exe

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
• http://vca.cl/scan**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\641767680.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Fakealert.aah.3

– La dirección es la siguiente:
• http://vca.cl/in_**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\664313440.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Crypt.XPACK.Gen

– La dirección es la siguiente:
• http://vca.cl/pre**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\607883503.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dropper.Gen

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc]
• “Type”=dword:00000010
• “Start”=dword:00000002
• “ErrorControl”=dword:00000001
• “ImagePath”=
• “DisplayName”=”CdbgEvtSvc”
• “ObjectName”=”LocalSystem”

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc\Security]
• “Security”=%número hexadecimal%

– [HKLM\SYSTEM\CurrentControlSet\Services\CdbgEvtSvc\Enum]
• “0″=”Root\\LEGACY_CDBGEVTSVC\\0000″
• “Count”=dword:00000001
• “NextInstance”=dword:00000001

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.


Fuentes

  1. avira.com
]]> http://www.ventajasdelinternet.com/virus-trdldr-exchanger-oq-trojan-eliminar-curar-borrar-antivirus//feed 0 Virus TR/Dldr.Exchanger.MO – Trojan eliminar, curar, borrar, antivirus http://www.ventajasdelinternet.com/virus-trdldr-exchanger-mo-trojan-eliminar-curar-borrar-antivirus/ http://www.ventajasdelinternet.com/virus-trdldr-exchanger-mo-trojan-eliminar-curar-borrar-antivirus/#comments Sun, 15 May 2011 05:19:52 +0000 Ángel http://ventajasdelinternet.com/virus-trdldr-exchanger-mo-trojan-eliminar-curar-borrar-antivirus/ TR/Dldr.Exchanger.MO
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Medio
Potencial de propagación: Bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 74.752 Bytes
Suma de control MD5: F49FB418108D70DE51AF3765DCD24FD3
Versión del IVDF: 7.00.06.03

General Método de propagación:
• No tiene rutina propia de propagación


•Mcafee: BackDoor-DNM trojan
•F-Secure: Backdoor:W32/Hupigon.ODW
•Sophos: Troj/Bravo-F
•Eset: Win32/Agent.ETH trojan
•Bitdefender: Trojan.Downloader.Exchanger.Gen.2

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga ficheros dañinos
• Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\CbEvtSvc.exe

Intenta descargar un fichero:

– La dirección es la siguiente:
• http://66.199.240.138/*****.exe
Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Crypt.XPACK.Gen

Registro Añade las siguientes claves del registro para ejecutar el servicio al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\CbEvtSvc]
• “Type”=dword:00000010
• “Start”=dword:00000002
• “ErrorControl”=dword:00000001
• “ImagePath”=%rutas para copias de malware%
• “DisplayName”=”CbEvtSvc”
• “ObjectName”=”LocalSystem”

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.


Fuentes

  1. avira.com
]]> http://www.ventajasdelinternet.com/virus-trdldr-exchanger-mo-trojan-eliminar-curar-borrar-antivirus//feed 0 Virus TR/Dldr.Exchanger.DW – Trojan eliminar, curar, borrar, antivirus http://www.ventajasdelinternet.com/virus-trdldr-exchanger-dw-trojan-eliminar-curar-borrar-antivirus/ http://www.ventajasdelinternet.com/virus-trdldr-exchanger-dw-trojan-eliminar-curar-borrar-antivirus/#comments Sun, 15 May 2011 05:19:52 +0000 Ángel http://ventajasdelinternet.com/virus-trdldr-exchanger-dw-trojan-eliminar-curar-borrar-antivirus/ TR/Dldr.Exchanger.DW
Fecha de creación: 39790
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Medio-bajo
Potencial de propagación: Bajo
Potencial dañino: Medio
Fichero estático: Sí
Tamaño: 74.752 Bytes
Suma de control MD5: 06bd0701d470475d32c6d98a0c685e4b
Versión del IVDF: 7.00.06.02

General Método de propagación:
• No tiene rutina propia de propagación


•Symantec: Downloader
•Mcafee: BackDoor-DNM trojan
•Kaspersky: Trojan-Downloader.Win32.Exchanger.mn
•TrendMicro: TROJ_AGENT.KBE
•F-Secure: Trojan-Downloader.Win32.Exchanger.mn
•Sophos: Mal/EncPk-DA
•Grisoft: Downloader.Agent.AJFH
•Eset: a variant of Win32/Agent.ETH trojan
•Bitdefender: Trojan.Downloader.Exchanger.Gen.2

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga ficheros dañinos
• Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\CbEvtSvc.exe

Intenta descargar algunos ficheros:

– La dirección es la siguiente:
• http://78.109.19.50/12**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\633968421.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Dldr.Small.aafu

– La dirección es la siguiente:
• http://78.109.19.50/**********.exe
El fichero está guardado en el disco duro en: C:\Documents and Settings\LocalService\Application Data\728739263.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Agent.137216.2.A

Registro Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:

– [HKLM\SYSTEM\CurrentControlSet\Services\CbEvtSvc]
• “Type”=dword:00000010
• “Start”=dword:00000002
• “ErrorControl”=dword:00000001
• “ImagePath”=%rutas para copias de malware%
• “DisplayName”=”CbEvtSvc”
• “ObjectName”=”LocalSystem”

– [HKLM\SYSTEM\CurrentControlSet\Services\CbEvtSvc\Enum]
• “0″=”Root\\LEGACY_CBEVTSVC\\0000″
• “Count”=dword:00000001
• “NextInstance”=dword:00000001

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.


Fuentes

  1. avira.com
]]> http://www.ventajasdelinternet.com/virus-trdldr-exchanger-dw-trojan-eliminar-curar-borrar-antivirus//feed 0 Virus TR/Dldr.Ebill.L – Trojan eliminar, curar, borrar, antivirus http://www.ventajasdelinternet.com/virus-trdldr-ebill-l-trojan-eliminar-curar-borrar-antivirus/ http://www.ventajasdelinternet.com/virus-trdldr-ebill-l-trojan-eliminar-curar-borrar-antivirus/#comments Sun, 15 May 2011 05:19:52 +0000 Ángel http://ventajasdelinternet.com/virus-trdldr-ebill-l-trojan-eliminar-curar-borrar-antivirus/ TR/Dldr.Ebill.L
Fecha de creación: 14/01/2009
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Medio
Potencial de propagación: Medio
Potencial dañino: Medio
Fichero estático: Sí
Tamaño: 1.007.616 Bytes
Suma de control MD5: 268feb4d73cf742f85d098e254cd1e0D
Versión del IVDF: 7.01.01.115

General
•Mcafee: PWS-Zbot trojan !!!
•Kaspersky: Trojan-Spy.Win32.Zbot.kbi
•Sophos: Mal/UnkPack-Fam
•Panda: Trj/Sinowal.WJC
•Eset: Win32/Spy.Zbot.EF trojan
•Bitdefender: Trojan.SPY.Zbot.UV

Plataformas / Sistemas operativos:
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga un fichero
• Suelta un fichero dañino
• Reduce las opciones de seguridad
• Modificaciones en el registro
• Roba informaciones

FicherosSe copia a sí mismo al siguiente lugar. Este archivo tiene un número indeterminado de bytes adjuntos, de forma que puede ser distinto al original:
• %SYSDIR%\twex.exe

Crea el siguiente fichero:

– Ficheros temporales, que pueden ser eliminados después:
• %SYSDIR%\twain32\local.ds
• %SYSDIR%\twain32\user.ds
• %SYSDIR%\twain32\user.ds.lll

Intenta descargar un fichero:

– La dirección es la siguiente:
• http://91.211.65.33/ferrari/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.
Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
• “Userinit”=”%configuración definida por el usuario%,%SYSDIR%\twex.exe,”

Modifica la siguiente clave del registro:

Desactiva el cortafuego de Windows XP:
– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile]
Nuevo valor:
• “EnableFirewall”=dword:0×0

Tecnología Rootkit Oculta las siguientes:
– Su propio fichero

Método empleado:
• Oculto en Windows API
• Hook the Import Address Table (IAT) (es)

Engancha las siguientes funciones API:
• ntdll.dll -> LdrGetProcedureAddress
• ntdll.dll -> LdrLoadDll
• ntdll.dll -> NtCreateThread
• ntdll.dll -> NtQueryDirectoryFile
• user32.dll -> TranslateMessage
• user32.dll -> GetClipboardData

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.


Fuentes

  1. avira.com
]]> http://www.ventajasdelinternet.com/virus-trdldr-ebill-l-trojan-eliminar-curar-borrar-antivirus//feed 0 Virus TR/Dldr.EBill.7738 – Trojan eliminar, curar, borrar, antivirus http://www.ventajasdelinternet.com/virus-trdldr-ebill-7738-trojan-eliminar-curar-borrar-antivirus/ http://www.ventajasdelinternet.com/virus-trdldr-ebill-7738-trojan-eliminar-curar-borrar-antivirus/#comments Sun, 15 May 2011 05:19:52 +0000 Ángel http://ventajasdelinternet.com/virus-trdldr-ebill-7738-trojan-eliminar-curar-borrar-antivirus/ TR/Dldr.EBill.7738
Clase: Troyano
SubClase: Downloader
En circulación (ITW): Sí
Número de infecciones comunicadas: Medio-bajo
Potencial de propagación: Medio-bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 7.738 Bytes
Suma de control MD5: 5418ac1645d0b3a80a71e34149b6bceb
Versión del IVDF: 6.39.00.234

General Método de propagación:
• No tiene rutina propia de propagación

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga un fichero

Ficheros Crea el siguiente fichero:

– Fichero no malicioso:
• C:\BOoT.iNi

Intenta descargar un fichero:

– La dirección es la siguiente:
• http://www.lookarounder.com/**********.exe
El fichero está guardado en el disco duro en: %SYSDIR%\ntos.exe Además, este fichero es ejecutado después de haber sido descargago. Los análisis adicionales indicaron que este fichero es también viral. Detectado como: TR/Bancos.44043


Fuentes

  1. avira.com
]]> http://www.ventajasdelinternet.com/virus-trdldr-ebill-7738-trojan-eliminar-curar-borrar-antivirus//feed 0 Virus TR/Dldr.EbayFake.A – Trojan eliminar, curar, borrar, antivirus http://www.ventajasdelinternet.com/virus-trdldr-ebayfake-a-trojan-eliminar-curar-borrar-antivirus/ http://www.ventajasdelinternet.com/virus-trdldr-ebayfake-a-trojan-eliminar-curar-borrar-antivirus/#comments Sun, 15 May 2011 05:19:52 +0000 Ángel http://ventajasdelinternet.com/virus-trdldr-ebayfake-a-trojan-eliminar-curar-borrar-antivirus/ TR/Dldr.EbayFake.A
Fecha de creación: 28/09/2005
Clase: Troyano
SubClase: Downloader
En circulación (ITW): No
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 19.045 Bytes
Suma de control MD5: 6B21C9DB9EF34281081ABD64EA750175
Versión del VDF: 6.32.0.47

General Método de propagación:
• No tiene rutina propia de propagación


•Kaspersky: Trojan.Win32.Agent.jk

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga ficheros
• Modificaciones en el registro

Ficheros Se copia a sí mismo en la siguiente ubicación:
• %SYSDIR%\winldr.exe

Crea los siguientes ficheros:

– Fichero no malicioso:
• %SYSDIR%\dllsys.dll

– %SYSDIR%\dload.dat Este es un fichero sin código viral y contiene información acerca del programa en sí.

Intenta descargar algunos ficheros:

– Las direcciones son las siguientes:
• http://topdresser.ca/images/**********/flg.exe
• http://uh.gameage.co.uk/images/**********/flg.exe
• http://signtrainer.com/images/**********/flg.exe
• http://theemmauscommunity.org/images/**********/flg.exe
• http://actionwebdevelopment.com/images/**********/flg.exe
• http://parablenewmedia.com/images/**********/flg.exe
• http://traxxinc.com/images/**********/flg.exe
• http://realestatesolutionsplus.com/images/**********/flg.exe
• http://cosmoflash.com/images/**********/flg.exe
• http://fooyagi.com/images/**********/flg.exe
• http://pnimaging.com/images/**********/flg.exe
• http://cosmed-hair.com/images/**********/flg.exe
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.

– Las direcciones son las siguientes:
• http://topdresser.ca/images/**********/winldr.ini
• http://uh.gameage.co.uk/images/**********/winldr.ini
• http://signtrainer.com/images/**********/winldr.ini
• http://theemmauscommunity.org/images/**********/winldr.ini
• http://actionwebdevelopment.com/images/**********/winldr.ini
• http://parablenewmedia.com/images/**********/winldr.ini
• http://traxxinc.com/images/**********/winldr.ini
• http://realestatesolutionsplus.com/images/**********/winldr.ini
• http://cosmoflash.com/images/**********/winldr.ini
• http://fooyagi.com/images/**********/winldr.ini
• http://pnimaging.com/images/**********/winldr.ini
• http://cosmed-hair.com/images/**********/winldr.ini
El fichero está guardado en el disco duro en: %SYSDIR%\winldr.ini Este archivo puede contener otras ubicaciones de descarga y puede servir como origen de nuevas amenazas.
Registro Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Valor anterior:
• “Shell”=”Explorer.exe”
Nuevo valor:
• “Shell”=”Explorer.exe winldr.exe”

Inyectar el código viral en otros procesos – Se inyecta en un proceso.

Nombre del proceso:
• svchost.exe

Al lograr la operación, el programa malicioso cesa su ejecución, mientras que su componente inyectado queda activo.

Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea los siguientes programas de compresión de ejecutables:
• PE_Patch.DotFix
• FSG


Fuentes

  1. avira.com
]]> http://www.ventajasdelinternet.com/virus-trdldr-ebayfake-a-trojan-eliminar-curar-borrar-antivirus//feed 0 Virus TR/Dldr.EbayBill.N – Trojan eliminar, curar, borrar, antivirus http://www.ventajasdelinternet.com/virus-trdldr-ebaybill-n-trojan-eliminar-curar-borrar-antivirus/ http://www.ventajasdelinternet.com/virus-trdldr-ebaybill-n-trojan-eliminar-curar-borrar-antivirus/#comments Sun, 15 May 2011 05:19:52 +0000 Ángel http://ventajasdelinternet.com/virus-trdldr-ebaybill-n-trojan-eliminar-curar-borrar-antivirus/ TR/Dldr.EbayBill.N
Fecha de creación: 39356
Clase: Troyano
SubClase: Downloader
En circulación (ITW): No
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 5.554 Bytes
Suma de control MD5: 0dcb370b0faf44e295dc8ca151a0cb72
Versión del VDF: 6.36.01.055
Versión del IVDF: 6.36.01.058

General Método de propagación:
• No tiene rutina propia de propagación


•Mcafee: Downloader-AAP
•Kaspersky: Trojan-Downloader.Win32.Nurech.l
•F-Secure: W32/Small.EAF
•Sophos: Troj/Clagge-Gen
•Grisoft: Downloader.Generic2.XNZ
•Eset: Win32/TrojanDownloader.Small.DQX

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga ficheros
• Reduce las opciones de seguridad
• Modificaciones en el registro

Ficheros Intenta descargar algunos ficheros:

– La dirección es la siguiente:
• http://www.marina.users.digital-crocus.com/1/**********
El fichero está guardado en el disco duro en: %WINDIR%\chii.exe Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
• http://www.marina.users.digital-crocus.com/1/**********
El fichero está guardado en el disco duro en: %WINDIR%\zupacha.exe Además, este fichero es ejecutado después de haber sido completamente descargado.

– La dirección es la siguiente:
• http://www.marina.users.digital-crocus.com/1/**********
El fichero está guardado en el disco duro en: %WINDIR%\1.exe Además, este fichero es ejecutado después de haber sido completamente descargado.
Registro Añade la siguiente clave al registro:

– [HKLM\SYSTEM\ControlSet\Services\SharedAccess\Parameters\
FiREWaLLpolicy\StAnDaRDPrOFiLe\AUtHorizedapplications\List]
• “%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%”=”%directorio donde se ejecuta el programa viral%\%ficheros ejecutados%:*:ENABLED:0″

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• FSG


Fuentes

  1. avira.com
]]> http://www.ventajasdelinternet.com/virus-trdldr-ebaybill-n-trojan-eliminar-curar-borrar-antivirus//feed 0 Virus TR/Dldr.EbayBill.M – Trojan eliminar, curar, borrar, antivirus http://www.ventajasdelinternet.com/virus-trdldr-ebaybill-m-trojan-eliminar-curar-borrar-antivirus/ http://www.ventajasdelinternet.com/virus-trdldr-ebaybill-m-trojan-eliminar-curar-borrar-antivirus/#comments Sun, 15 May 2011 05:19:52 +0000 Ángel http://ventajasdelinternet.com/virus-trdldr-ebaybill-m-trojan-eliminar-curar-borrar-antivirus/ TR/Dldr.EbayBill.M
Fecha de creación: 39326
Clase: Troyano
SubClase: Downloader
En circulación (ITW): No
Número de infecciones comunicadas: Bajo
Potencial de propagación: Bajo
Potencial dañino: Medio-bajo
Fichero estático: Sí
Tamaño: 17.920 Bytes
Suma de control MD5: 00879394f785800d37f28b09d8d9c407
Versión del VDF: 6.36.01.033
Versión del IVDF: 6.36.01.036

General Método de propagación:
• No tiene rutina propia de propagación


•Mcafee: Downloader-AAP
•Kaspersky: Trojan-Downloader.Win32.Nurech.h
•F-Secure: W32/Agent.BBM
•Grisoft: Proxy.IED
•Eset: Win32/TrojanDownloader.Nurech.H

Plataformas / Sistemas operativos:
• Windows 95
• Windows 98
• Windows 98 SE
• Windows NT
• Windows ME
• Windows 2000
• Windows XP
• Windows 2003

Efectos secundarios:
• Descarga un fichero
• Modificaciones en el registro

Ficheros Intenta descargar un fichero:

– La dirección es la siguiente:
• http://zxcvz.com/**********
Al realizar esta descripción, dicho fichero no estaba disponible para análisis adicionales.
Registro Añade las siguientes claves al registro:

– [HKCU\Software\unker]
– [HKCU\Software\unker\%ficheros ejecutados%]
– [HKCU\Software\unker\%ficheros ejecutados%\main]
• “cid”=%número hexadecimal%

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• NIonioionwfoinwefoinwneiofinweonfiniwefnbvurueb

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en MS Visual C++.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.


Fuentes

  1. avira.com
]]> http://www.ventajasdelinternet.com/virus-trdldr-ebaybill-m-trojan-eliminar-curar-borrar-antivirus//feed 0