General
Troyano que se conecta con servidores remotos delo cuales recibe información cifrada para visitar sitios web o descargar archivos en el sistema.
SHA256: 68f6412ed6110ed8e2cdfbc478efd797682213333a0e796dfc55c5a897e741e2
SHA1: ecb1774ab7ee67230d77e769aabff7c5bb757784
MD5: a705211df7995335f1f98bb773d4732d
TrID:
Win32 Executable Generic (38.3%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
Alias:
AVG |
BackDoor.Generic15.AYNW |
BitDefender |
Trojan.Generic.KDV.627099 |
CAT-QuickHeal |
Worm.PushBot.Gen |
Commtouch |
W32/Zbot.W.gen!Eldorado |
Comodo |
UnclassifiedMalware |
DrWeb |
Trojan.DownLoader6.77 |
Emsisoft |
Backdoor.Win32.Azbreg!IK |
ESET-NOD32 |
a variant of Win32/Kryptik.AFTD |
F-Prot |
W32/Zbot.W.gen!Eldorado |
F-Secure |
Trojan.Generic.KDV.627099 |
Fortinet |
W32/Zbot.CGZF!tr |
Kaspersky |
Backdoor.Win32.Azbreg.e |
McAfee |
Generic Downloader.x!gjz |
McAfee-GW-Edition |
Generic Downloader.x!gjz |
Microsoft |
TrojanDownloader:Win32/Obvod.K |
|
|
Información del archivo en ejecución
|
Se copia a sí mismo con un nombre aleatorio (para este caso el nombre es “oP5u2JBx”) en la carpeta:
C:\Documents and Settings\All Users\Datos de programa
Crea 48 tareas programadas con el fin de ejecutar el troyano una vez cada hora, en la carpeta
C:\WINDOWS\Tasks
|
 |
|
Modificaciones en el registro de Windows
|
Para la creación del archivo
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\All Users\Datos de programa\oP5u2JBx.exe: "oP5u2JBx"
Para la ejecución de las tareas programadas
HKLM\SYSTEM\ControlSet001\Services\Schedule\AtTaskMaxHours: 0x00000048
HKLM\SYSTEM\CurrentControlSet\Services\Schedule\AtTaskMaxHours: 0x00000048
Disminuye las características de seguridad del internet Explorer
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Internet Explorer\Main\DisableScriptDebuggerIE: "yes"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Internet Explorer\Main\Error Dlg Displayed On Every Error: "no"
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Internet Explorer\Main\NoProtectedModeBanner: 0x00000001
HKU\S-1-5-21-73586283-616249376-1177238915-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\2500: 0x00000003
|
|
Información de red
|
Realiza conexiones con los siguientes servidores web:
92.241.163.23
156.154.70.1
|
|
