• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    ALERTA: KillAV.KP

    KillAV.KP Troyano que muestra una animación para ocultar su ejecución e impide el acceso a diversos sitios web relacionados con soluciones de seguridad informática. Difusión: Baja Fecha de Alta:27-05-2009 Última Actualización:27-05-2009 Daño: Medio Dispersibilidad: Bajo ...

          
    1. #1
      Colaborador Avatar de Herrante
      Registrado
      jun 2008
      Ubicación
      España
      Mensajes
      5.290

      Malware ALERTA: KillAV.KP

      KillAV.KP

      Troyano que muestra una animación para ocultar su ejecución e impide el acceso a diversos sitios web relacionados con soluciones de seguridad informática.

      Difusión: Baja Fecha de Alta:27-05-2009
      Última Actualización:27-05-2009

      Daño: Medio

      Dispersibilidad: Bajo

      Nombre completo: Trojan.W32/KillAV.KP

      Tipo: [Trojan] - Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
      Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
      Tamaño (bytes): 31745

      Alias:Trj/KillAV.KP (Panda Security)


      Método de Infección/Efectos


      KillAV.KP llega al sistema simulando ser un fichero de imagen y con el siguiente icono:


      Cuando se ejecuta muestra la siguiente animación para ocultar la ejecución del código malicioso:


      KillAV.KP copia el siguiente fichero en el sistema comprometido cuando se ejecuta:

      * %System%\STNETLIB.EXE

      Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
      Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).

      Introduce modificaciones en el siguiente fichero para impedir el acceso del sistema a diversos dominios relacionados con soluciones de seguridad informática:

      * %System%\drivers\etc\hosts

      Crea a continuación las siguientes entradas en el registro de Windows:

      Código:
      Clave: HKEY_CURRENT_USER\Software\Microsoft\xMyDate
      
      Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
      Intel Physical Routine 1.2A
      
      Modifica además las siguientes entradas en el registro de Windows:
      
      Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced  
      Valor: Hidden = 02, 00, 00, 00
      
      Clave: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ 
      Advanced\ Folder\ Hidden\ SHOWALL  
      Valor: CheckedValue = 00, 00, 00, 00
      La modificación del ficher "hosts" impide el acceso a los siguientes dominios web:

      *

      Foros
      o forums.techguy.org
      o scanner.virus.org
      o www.antivirus.pagina.nl
      o www.bleepingcomputer.com
      o www.computing.net
      o www.csis.dk
      o www.forospyware.com
      o www.geekstogo.com
      o www.klubamitech.dk
      o www.techguy.org
      o www.thepcspy.com
      o www.threatexpert.com
      o www.virus.org
      o www.virusalert.nl
      o www.virustotal.com

      *

      Avast
      o download1.avast.com
      o rs1.avast.com

      *

      AVG

      o backup.avg.cz
      o update.avg.com
      o www.grisoft.com

      *

      AVP

      o ftp.avp.ch
      o www.avp.ch
      o www.avp.com
      o www.avp.ru

      *

      Bitdefender

      o archive.bitdefender.com
      o download.bitdefender.com
      o download.bitdefender.com.edgesuite.net
      o forum.bitdefender.com
      o upgrade.bitdefender.com
      o www.bitdefender.com

      *

      Ca

      o www.ca.com
      o www.my-etrust.com

      *

      Eset

      o eset.casablanca.cz
      o exp01.eset.com
      o ts99.eset.com
      o u1.eset.com
      o v27.eset.com
      o www.eset.com
      o www.nod32.com

      *

      F-Secure

      o ftp.f-secure.com
      o www.f-secure.com

      *

      Kaspersky

      o d-jp3.kaspersky-labs.com
      o dnl-00.geo.kaspersky.com
      o dnl-cd1.kaspersky-labs.com
      o dnl-cn0.kaspersky-labs.com
      o dnl-eu1.kaspersky-labs.com
      o dnl-kr1.kaspersky-labs.com
      o dnl-old.kaspersky-labs.com
      o dnl-pr1.kaspersky-labs.com
      o dnl-r00.kaspersky-labs.com
      o dnl-ru1.kaspersky-labs.com
      o dnl-test.kaspersky-labs.com
      o dnl-us1.kaspersky-labs.com
      o dnl-xx0.kaspersky-labs.com
      o downloads1.kaspersky-labs.com
      o ftp.kaspersky-labs.com
      o kaspersky.fastcdn.com
      o mx.kaspersky-labs.com
      o mx1.kaspersky-labs.com
      o relay0.kaspersky-labs.com
      o www.viruslist.com
      o www.viruslist.ru

      *

      Mcafee

      o dispatch.mcafee.com
      o download.mcafee.com
      o mast.mcafee.com
      o rads.mcafee.com
      o secure.nai.com
      o us.mcafee.com
      o vil.nai.com
      o www.mcafee.com
      o www.nai.com
      o www.networkassociates.com

      *

      Microsoft

      o download.microsoft.com
      o downloads.microsoft.com
      o go.microsoft.com
      o msdn.microsoft.com
      o office.microsoft.com
      o support.microsoft.com
      o windowsupdate.microsoft.com

      *

      Norman

      o sandbox.norman.com
      o sandbox.norman.no
      o www.malwareanalyzer.com
      o www.norman.com
      o Perantivirus
      o www.perantivirus.com

      *

      Sophos

      o ftp.sophos.com
      o www.sophos.com

      *

      Symantec

      o customer.symantec.com
      o www.norton.com
      o liveupdate.symantec.com
      o liveupdate.symantecliveupdate.com
      o safeweb.norton.com
      o securityresponse.symantec.com
      o service1.symantec.com
      o www.symantec.com
      o update.symantec.com
      o update.symantec.com
      o updates.symantec.com

      *

      Trendmicro

      o www.trendmicro.com

      KillAV.KP no dispone de rutina de difusión propia, por lo que requiere de la participación de un usuario malicioso o de otro código malicioso para su propagación.

      Fuente: Alerta-Antivirus.es: Detalles del virus KillAV.KP

      Un dato curioso es que entre el amplio listado de soluciones antivirus no conste Avira Antivir y a demás es capaz de bloquear nustro foro (aunque eso no es algo nuevo en los últimos troyanos y virus)
      Un autentico héroe es aquel que ayuda a los demás sin esperar nada a cambio


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Usuario Avatar de JuanD:
      Registrado
      jul 2008
      Ubicación
      Venezuela
      Mensajes
      1.962

      Re: ALERTA: KillAV.KP

      Hola

      Gracias por la Info Herrante, la verdad es que este virus hace daño y lo peor es que al infectarse no puedes entrar al foro por que este edita el Hosts de windows


      Salu2