|
AGENT.WQZ
troyano descarga gusanos otros troyanos droppers malwares etc. de diferentes
direcciones web.
|
|
© Jorge Machado Lima-Perú
|
|
Troj_Agent.WQZ
Agent.WQZ es un
troyano reportado el 10 de Marzo del 2008 que se propaga a través de servicios de
Internet visitando páginas web exprofesamente infectadas,
además en mensajes de corrreo MultiSPAM.
Infecta Windows
95/98/Me/NT/2000/XP y Server
2003, desarrollado en Assembler con una
extensión de apenas 11,892 Bytes no está encriptado.
Al ingresr a un sistema se copia a las rutas:
- %User Temp%\bngSgSmU.exe
- %Program Files%\antiviirus.exe
Para ejecutarse la proxima vez
que se re-inicie el sistema crea la lave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"antiviirus" = "%Program Files%\antiviirus.exe"
%ProgramFiles% es la variable referida a
la carpeta de archivos de programa. Por defecto es C:\Program Files.
%User Temp% es la variable C:\Windows\Temp
en Windows 95/98/Me, C:\Winnt\Temp en
Windows NT\2000 y C:\Document and Settings\[nombre_de
_usuario]\Local Settings\Temp en Windows XP/Server 2003.
Al siguiente inico del equipo
el troyano intenta conectarse y descargar archivos conteniendo gusanos, troyanos,
droppers, codificadores, malwares, etc. desde las siguientes direcciones web:
- http://[Censurado].93.[Censurado].25/m.exe
- http://[Censurado].93.[Censurado].25/us/index.php
- http://[Censurado].93.[Censurado].25/us/load.php
- http://[Censurado].93.[Censurado].206/shd/index.php
- http://[Censurado]ms.net/dl/020/win32.exe
- http://[Censurado]ms.net/pic/proxy.jpg
- http://[Censurado]ms.net/pic/search.jpg
- http://[Censurado]ms.net/pic/tibs.jpg
- http://[Censurado]ms.net/pic/tool.jpg
- http://[Censurado]ms.net/pic/winlogon.jpg
- http://[Censurado]ms.net/pictures1/ztool1
- http://[Censurado]ms.net/pictures1/ztool2
- http://[Censurado]ms.net/pictures1/ztool3
- http://[Censurado]ms.net/pictures1/ztool4
- http://[Censurado]ms.net/pictures5/zgame1
- http://[Censurado]ms.net/pictures5/zgame2
- http://[Censurado]ms.net/pictures5/zgame3
- http://[Censurado]ms.net/pictures5/zgame4
- http://[Censurado]ms.net/pictures5/zgame5
- http://[Censurado]eonetwork.com/./soft/temp/3_4a64d91_0/FlyVideoCodec.exe
- http://[Censurado]hka.com/scripts/bin/sadfsdf.exe
- http://[Censurado]shisrv.com/winog.exe
- http://[Censurado]ribokk.com/sv/gen.php?q=73706f6f6c73762e657865
- http://www.[Censurado]nfo/maga/1
- http://[Censurado]7.wrs.mcboo.com/17PHolmes.cmt
PER ANTIVIRUS®
versión X4 con registro de virus al 10 de Marzo del 2008 detecta y elimina este
troyano.
