Win32/AutoRun.Del.HA

Win32/Agent.RKS
Información sobre la plantilla


Win32/Agent.RKS es un troyano que intenta descargar otros programas maliciososdesde Internet.

Instalación

Cuando se ejecuta, el troyano crea los siguientes archivos:


%appdata%{%variable%}ntuser.cpl (12032 B)


%appdata%{%variable%}desktop.ini


Una cadena con contenido variable se utiliza en lugar de %variable%.


El troyano se ejecuta el siguiente comando:


rundll32.exe "%appdata%{%variable%}ntuser.cpl",_4CDFA75B


Las siguientes entradas del registro se crean:


[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce]


"{%variable%}" = "rundll32


"%APPDATA%{%variable%}ntuser.cpl",_4CDFA75B"


Efectos

  1. Modifica los valores de registro.
  2. Puerta trasera abierta para otros elementos de malware.
  3. Invita a los troyanos y virus adicionales.
  4. Roba información personal del sistema infectado.
  5. Estancias en el fondo.
  6. Se conecta a internet.


Otra información

El troyano puede establecer las siguientes entradas del registro: [HKEY_CURRENT_USERSOFTWAREMicrosoftInternet Explorer LowRegistry] "ms-ldr" = "%malwarepath%" El troyano crea y ejecutaun nuevo hilo con su propio código de programa en todos los procesos en ejecución.


El Troyano chequea la conexión a Internet pora tratar de conectara las siguientes direcciones: www.microsoft.com


Adquiere datos y comandos desde un equipo remoto o en Internet. También contiene una dirección URL. Puede descargar y ejecutar un archivo desde Internet. Utiliza el protocolo HTTP.


Fuentes

http://www.bestsafeguardtools.com/Unknown/how+to+remove+Win32.AutoRun.Delf.HA.html

Obtenido de «https://www.ecured.cu/index.php?title=Win32/AutoRun.Del.HA&oldid=2318644»