Enviar esta página Imprimir esta página Recogemos tu opinión
Inicio » Empresas » Security Info » Enciclopedia

Enciclopedia de Virus

KillRDLL.A

 
PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

KillRDLL.A realiza las siguientes acciones:

  • Cada vez que el usuario accede a un directorio, crea una copia de sí mismo con el icono de una carpeta de Windows y oculta la extensión para que el usuario piense que se trata de una carpeta.
  • Si el usuario accede a un subdirectorio, también creará otra copia de sí mismo camuflada en una carpeta.
  • La carpeta Favorites que se ve en la imagen, es en realidad una copia del troyano, camuflada como si fuera una carpeta de Windows:

  • Estos son algunos de los nombres que utiliza para copiarse, entre otros:
    Angelina Jolie
    Clips
    Documents
    Favorites
    Flash Games
    Games
    My Documents
    My Folder
    Picture
    Video
    WallPapers
  • Además, cuando es ejecutado, abre la página web de un buscador que falsea los resultados:

Metodo de Infección 

KillRDLL.A crea una copia de sí mismo con el nombre con el que el archivo haya sido ejecutado en el directorio de sistema de Windows.

Además, crea el archivo RUNDLL32.EXE en los siguientes directorios:

  • en la carpeta dllcache del directorio de sistema de Windows.
  • en la carpeta LastGood\system32 en el directorio de Windows.

 

KillRDLL.A crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    %nombre con el que ha sido ejecutado% = %sysdir%\%nombre con el que ha sido ejecutado%.exe
    donde %sysdir% es el directorio de sistema de Windows.
    Mediante esta entrada, KillRDLL.A consigue ejecutarse cada vez que Windows se inicia.

KillRDLL.A modifica la siguiente entrada del Registro de Windows, para ocultar su presencia y dificultar su detección:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    HideFileExt = 00, 00, 00, 00
    Cambia esta entrada por:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    HideFileExt = 01, 00, 00, 00
    Mediante esta modificación, oculta la extensión de los archivos.

Método de Propagación 

KillRDLL.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros Detalles  

KillRDLL.A tiene un tamaño de 97280 Bytes y está comprimido mediante UPX.

Información actualizada:  25/06/2009 

Virus News

24/3/09.-El troyano Nabload.DLU se oculta tras un divertido video para robar las claves bancarias

10/3/09.-1 de cada 100 usuarios mundiales estuvo expuesto al robo de identidad en 2008

2/3/09.-El número de infecciones del adware VideoPlay creció un 400% en febrero debido al uso malicioso de páginas de la web 2.0

[+ Noticias]