¿Quieres recibir una notificación por email cada vez que Cesarromero escriba una noticia?
Detección agregada 24 oct 2007 16:41 GMT Actualización lanzada 25 oct 2007 10:17 GMT Descripción agregada 24 feb 2010 Comportamiento TrojanDownloader
Detalles técnicos
Este troyano descarga otro programa desde Internet y lo ejecuta en el equipo capturado sin el conocimiento ni consentimiento del usuario. Se trata de un archivo Windows PE EXE. Tiene un tamaño de 38.400 bytes. Está escrito en C++.InstalaciónCuando se ejecuta, el troyano copia su cuerpo en el directorio de sistema de Windows como "Ir32_a.exe":
%System%\Ir32_a.exeEl archivo original se borrará.
Para asegurarse de que el troyano se ejecute de manera automática cada vez que se inicie el sistema, el troyano registra su archivo ejecutable al registro del sistema:
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]Daños El troyano envía una petición al sitio del usuario remoto malicioso:"Userinit" = C:\WINDOWS\system32\userinit.exe, Ir32_a.exe
http://www.***blog5566.com/images/yukor.gifComo respuesta, se enviará un archivo con una lista de vínculos a descargar.http://www.***blog5566.com/images/yukor.jpg
http://www.***blog5566.com/images/yukor.bmp
El archivo se guarda en la unidad C: directorio raíz: como "tmp.dat":
C:\tmp.datHasta la fecha, estos vínculos no funcionaban.
Los archivos descargados desde los vínculos incluidos en el archivo se guardan en el directorio Archivos temporales de Internet con sus nombres originales. Después de descargarse, están listos para ejecutarse. Instrucciones de eliminación Si su equipo no cuenta con un antivirus actualizado, o no dispone de una solución antivirus, siga las siguientes instrucciones para eliminar el programa malicioso:
%System%\Ir32_.exe
Winlogon] "Userinit" = C:\WINDOWS\system32\userinit.exe, Ir32_a.exea[HKLM\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon] "Userinit" = C:\WINDOWS\system32\userinit.exe
