Win32/AutoRun.Del.HA
|
Win32/Agent.RKS es un troyano que intenta descargar otros programas maliciososdesde Internet.
Instalación
Cuando se ejecuta, el troyano crea los siguientes archivos:
%appdata%{%variable%}ntuser.cpl (12032 B)
%appdata%{%variable%}desktop.ini
Una cadena con contenido variable se utiliza en lugar de %variable%.
El troyano se ejecuta el siguiente comando:
rundll32.exe "%appdata%{%variable%}ntuser.cpl",_4CDFA75B
Las siguientes entradas del registro se crean:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]
"{%variable%}" = "rundll32
"%APPDATA%{%variable%}ntuser.cpl",_4CDFA75B"
Efectos
- Modifica los valores de registro.
- Puerta trasera abierta para otros elementos de malware.
- Invita a los troyanos y virus adicionales.
- Roba información personal del sistema infectado.
- Estancias en el fondo.
- Se conecta a internet.
Otra información
El troyano puede establecer las siguientes entradas del registro: [HKEY_CURRENT_USERSOFTWAREMicrosoftInternet Explorer LowRegistry] "ms-ldr" = "%malwarepath%" El troyano crea y ejecutaun nuevo hilo con su propio código de programa en todos los procesos en ejecución.
El Troyano chequea la conexión a Internet pora tratar de conectara las siguientes direcciones:
www.microsoft.com
Adquiere datos y comandos desde un equipo remoto o en Internet. También contiene una dirección URL. Puede descargar y ejecutar un archivo desde Internet. Utiliza el protocolo HTTP.
Fuentes
http://www.bestsafeguardtools.com/Unknown/how+to+remove+Win32.AutoRun.Delf.HA.html