Autor Tema: Agent.24 (Leído 3044 veces)

Perfil · Registrado: 13/05/2010 Gracias: 0/0 Mensajes 11

Agent.24 02/08/2010
Distribución: ------>*****
Daño: ----->*****

El Agent.24 troyano está en camino a través de e-mail y trató a los usuarios una falsa actualización de Windows tonto. El e-mail supuestamente de Microsoft contiene una actualización de seguridad crítica para Windows 7/Vista/XP. Eso es una mentira: que sigue el enlace en el e-mail, no reciben ningún importante actualización de Windows, pero un peligroso troyano apócrifos.

mira el correo electrónico como éste

Tema: "Actualización crítica para el 7/Vista/XP Microsoft Windows.

texto E-mail: "Usted está recibiendo una actualización crítica de Microsoft ..."

Los sistemas operativos afectados: Todas las versiones de Windows

La instalación en el sistema

Se copia a sí mismo en las siguientes ubicaciones:
•% SYSDIR% \% serie de caracteres aleatorios%. Exe

Uno de los siguientes valores es clave para el registro "Run" se agrega al proceso de volver a empezar después de un reinicio del sistema:

- [HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run]
•% serie de caracteres aleatorios% "=%% SYSDIR% \% serie de caracteres aleatorios. Exe"

Las siguientes claves del Registro se agregan a la carga de trabajo después de un reinicio del sistema nuevo:

- [HKLM \ SYSTEM \ CurrentControlSet \ Services \
% Serie de caracteres aleatorios% cadena]
• "Type" = dword: 00000010
• "Start" = dword: 00000002
• "ErrorControl" = dword: 00000000
• "ImagePath" = "% SYSDIR% \% serie de caracteres aleatorios%. Exe / servicio"
• "DisplayName" = "Servicio de impresión de cola de impresión"
• "ObjectName" = "LocalSystem"

La siguiente clave del Registro se añade:

- [HKLM \ SYSTEM \ CurrentControlSet \ Services \
Cadena de caracteres aleatorios%% \ Security]
• "Security" =% valores hex%

Cómo proteger tu sistema
Instale la última actualización de su antivirus y estar consciente de e-mails de remitentes desconocidos - sobre todo en comparación a los e-mails con enlaces o adjunta!

Perfil · Registrado: 21/06/2008 Gracias: 4/93 Mensajes 1951

Home / Virus / Enciclopedia de virus
Trojan-Downloader.Win32.Agent.cpnc
Otras versiones: .ac, .emi, .uj
Detección agregada 12 sep 2009 21:12 GMT
Actualización lanzada 13 sep 2009 08:58 GMT
Descripción agregada 24 feb 2010

Detalles técnicos
Daños
Instrucciones de eliminación
Detalles técnicos

Este troyano descarga otro programa desde Internet y lo ejecuta en el equipo capturado sin el conocimiento ni consentimiento del usuario. Se trata de un archivo Windows PE DLL. Tiene un tamaño de 208.896 bytes. Está escrito en C++.

Instalación
Cuando se ejecuta, el troyano crea su propia copia y la guarda con la extensión ".ocx" en la misma carpeta en la que se encuentra su cuerpo original.

Daños

A continuación, el troyano determina la ruta a las carpetas con los archivos asociados con los procesos en ejecución en el equipo capturado. Si uno o más de los siguientes archivos se encuentra en estas carpetas:

antiRK.dll
safekrnl.dll
safemon.dll
AntiAdwa.dll
antispy.dll
SafeboxApi.dll
safeext.dll
AntiEng.dll
check.dll
KKClean.dll
KakaMgr.dll
kscanex.dll
BWList.dll
RsXML.dll
RfwRule.dll
AstShellEx.dll
prremote.dll
pr_remote.dll
kav32res.dll
npcLUStb.exe
npcLUEng.dll
LuccMUI.dll
symlcnet.dll
Iparmor4.dll
SocketArmor.dll
SRE*.EXE

entonces el troyano terminará el proceso.

El troyano también termina los procesos con los siguientes nombres:

BitComet.exe
bittorrent.exe
BitSpirit.exe
azureus.exe
emule.exe
Thunder5.exe
Thunder.exe
flashget.exe
RfwMain.exe
rfwsrv.exe
runiep.exe
avp.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
PFWMain.exe
ast.exe
USBSAFE.exe
Iparmor.exe
safeboxTray.exe
360tray.exe
360Safe.exe
360rpt.exe

Después, el troyano crea un archivo llamado “svchost.exe”:
svchost.exe
El troyano inyecta un código en el proceso creado que realizará las siguientes manipulaciones en el registro del sistema:
Adopta los siguientes valores como parámetros:
[HKLM\SOFTWARE\360Safe]
"UdiskAccess" = "0"
"ExecAccess" = "0"
"IEProtAccess" = "0"
"LeakAccess" = "0"
"MonAccess" = "0"
"SiteAccess" = "0"

Borra las siguientes llaves de registro:
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]
[HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\KavPFW]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\AntiSpam]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\KAC]
[HKLM\SYSTEM\CurrentControlSet\Services\KWatch3]
[HKLM\SYSTEM\CurrentControlSet\Services\KPfwSvc]
[HKLM\SYSTEM\CurrentControlSet\Services\KNetWch]
[HKLM\SYSTEM\CurrentControlSet\Services\KAVSafe]
[HKLM\SYSTEM\CurrentControlSet\Services\KAVBootC]
[HKLM\SYSTEM\CurrentControlSet\Services\KAVBase]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\Update]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\KMailMon]
[HKLM\SOFTWARE\Kingsoft\AntiVirus\KAVReport]
[HKLM\SOFTWARE\rising\KaKa]
[HKLM\SOFTWARE\rising\KaKaToolBar]
[HKLM\SOFTWARE\KasperskyLab]
[HKLM\SYSTEM\CurrentControlSet\Services\klbg]
[HKLM\SYSTEM\CurrentControlSet\Services\KLIF]
[HKLM\SYSTEM\CurrentControlSet\Services\klim5]
[HKLM\SYSTEM\CurrentControlSet\Services\AVP]
[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy]
[HKLM\SYSTEM\CurrentControlSet\Services\SafeBoxKrnl]
[HKLM\SYSTEM\CurrentControlSet\Services\360procmon]
[HKLM\SOFTWARE\360Safe]

Borra parámetros con los siguientes nombres desde la llave de inicio:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"360Safetray"
"360Safebox"
"360Antiarp"
"runeip"
"Iparmor"
"AVP"

Acto seguido, el troyano descarga un archivo desde la siguiente URL:
http://www.ay*****nfo/kernel/usa.txt
Hasta la fecha, este vínculo estaba inactivo.

El archivo se guarda de la siguiente manera:

%System%\acpi24.cnm
El troyano lee las URLs desde este archivo desde el cual descarga otros archivos y los ejecuta. Estos archivos se guardan en la carpeta de sistema de Windows como "NetGuy.exe", donde es el número de serie del vínculo usado para descargar el archivo:
%System%\NetGuy<serial number>.exe
El troyano también crea servicios con los siguientes nombres:
acpi24
acpi24Drv

El troyano añade lo siguiente a la llave del sistema:
[HKLM\SYSTEM\CurrentControlSet\Services\acpi24]
"Description" = "passthrough"
"DisplayName" = "acpi24"
"ErrorControl" = "1"
"ImagePath" = "%System%\acpi24.exe"
"Start" = "2"
"Type" = "16"

Instrucciones de eliminación

Si su equipo no cuenta con un antivirus actualizado, o no dispone de una solución antivirus, siga las siguientes instrucciones para eliminar el programa malicioso:

Use el Administrador de Tareas para terminar el proceso del programa malicioso con el siguiente nombre:
svchost.exe
Borre los siguientes servicios:
acpi24
acpi24Drv

Borre el archivo troyano original (su localización dependerá de la forma en la que el programa penetró en el equipo capturado) y el archivo con el mismo nombre y la extensión “.ocx” localizado en la misma carpeta.
Borre el siguiente archivo:
%System%\acpi24.cnm
Borre los archivos que usan la siguiente máscara:
%System%\NetGuy.exe
Borre el siguiente parámetro del registro del sistema (ver en inglés What is a system registry and how do I use it para saber más sobre cómo editar el registro).
[HKLM\SYSTEM\CurrentControlSet\Services\acpi24]

[HKLM\SYSTEM\CurrentControlSet\Services\acpi24Drv]

Actualice las bases de datos de su antivirus y haga un análisis completo de su equipo (descarga gratuita de una versión de prueba de Kaspersky Anti-Virus)

Autor Tema: Agent.24 (Leído 3044 veces)

Agent.24

Re: Agent.24