|
Troj/Agent.HFI
Agent.HFI es un troyano reportado el 11 de Julio del 2008, que se propaga a través de mensajes de correo MultiSPAM o visitando sitios web maliciosamente acondicionadosInfecta el MS Internet Explorer y el Explorador de Windows, afectando sus funciones y provocando acciones arbitrarias.
Modifica el archivo HOSTS y bloquea el acceso a sitios web relacionados a software antivirus para impedir sus actualizaciones.
Infecta a Windows 98/NT/2000/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 39KB y encriptado con rutinas propias.
Una vez ingresado al sistema se copia a la carpeta %System% y libera los siguientes archivos:
Los archivos liberados son inócuos pero modifican las llaves y sub-llaves de registro.
Para ejecutarse la próxima que se reinicie el sistema, crea la siguiente llave de registro:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"wblogon" = %System%\ubpr01.exe
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%Root% representa la raíz de la unidad donde Windows se encuentra instalado, que por defecto es la unidad C:\
Al siguiente inicio del equipo el troyano modifica la configuración del MS Internet Explorer agregando valores a las llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Los valores de estas llaves realizan las siguientes acciones arbitrarias:
Para deshabilitar el Administrador de Tareas de Windows crea la sub-llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr = 1
para deshabilitar el Editor de Registros crea la sub-llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
DisableRegistrytools = 1
PER ANTIVIRUS® versiones X5 y X6 con registro de virus al 11 de Julio del 2008 detectan y eliminan este troyano.
