Troj/Alureon.AH

ALUREON.AH troyano propagado por otros malwares infecta ejecutables de directorio %Windir% y los inutiliza.

Troj/Alureon.AH

Alureon.AH es un troyano reportado el 12 de Mayo del 2008 que se propaga a través de otros malwares o visitando sitios web infectados.

Revisa todos los archivos ejecutables del directorio %Windir% y al ser abiertos les inserta su código viral, dejándolos inutilizables.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/NT/XP y Server 2003, desarrollado en Visual C++, con una extensión de 57KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ingresar a un sistema se copia a la carpeta %User Temp% como Calc.exe y para ejecutarse la próxima vez que se re-inice el sistema crea la siguiente llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System" = [nombre_aleatorio_de_archivo].exe

%User Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

Al siguiente inicio del equipo el troyano busca una de las siguientes cadenas en el "cache" de los DNS del sistema infectado:

ynotmasters.com
ynotbob.com
x-forum.info
webtown.info
webmastersarea.com
webhostingtalk.ru
videoscash.com
videosboard.com
v7n.com
umaxforum.com
thinkreel.com
tgpalliance.com
temerc.com
techmonkeys.co.uk
seochase.com
securitygarden.blogspot.com
ruwebmaster.com
rusawm.com
promoforum.ru
pornstarkings.com
pornresource.com
pereroboard.com
peppersboard.com
netpond.com
netadmin.ws
nastraforum.com
master-x.com
luxuru.com
login.advertstats.com
lavasoftsupport.com
krawl.biz
klikforum.com
jmbsoft.com
jahewi.nl
greenguyandjim.com
gofuckyourself.
gfy.com
germesia.com
gaywebmasterchat.com
gaytraffic.nl
gaymarketforum.com
gallerytrafficservice.com
gabrielharrison.co.uk
forum.securitycadets.com
forum.searchengines.ru
forum.ru-board.com
forum.krawl.com
forum.kaspersky.com
forum.hostobzor.ru
forum.adultinter.com
foogie.com
extremebullshit.com
earnforum.com
domenforum.net
domaintalk.ru
dndialog.com
crutop.nu
charliechoice.com
castlecops.com
boards.xbiz.com
bigboynetwork.com
benedelman.org
bbs.mediumpimpin.com
awm.name
askdamagex.com
armadaboard.com
advertstats.com
adultwebmasterinfo.com
adultchamber.com

De no hallarlas, el troyano busca en la carpeta %Windir% todos los archivos ejecutables y al instante que cualquiera de ellos sea abierto para ser activado, el troyano le inserta su código viral, dejándolo inutilizable.

PER ANTIVIRUS® versión X5 con registro de virus al 12 de Mayo del 2008 detecta y elimina eficientemente este troyano.