Active Scan. Analiza Gratis tu PC
Panda Global Protection 2011

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Encyclopedia GetVirusCard

Nedro.B

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Nedro.B realiza las siguientes acciones:

  • Finaliza los siguientes procesos, si se encuentran activos en memoria:

    A
    alogserv.exe, APVXDWIN.EXE, AVENGINE.EXE, avgamsvr.exe, avgctrl.exe, avgemc.exe, avginet.exe, avgnt.exe, avgregcl.exe, avgserv.exe, avgserv9.exe, avgupsvc.exe, avgw.exe, AVLITE.EXE, AVLTMAIN.EXE, avpcc.exe, avpm.exe, avsynmgr.exe, AVTASK.EXE.

    K
    kav.exe, kavmm.exe, kavsvc.exe.

    L
    LUPGCONF.EXE.

    M
    mcagent.exe, mcappins.exe, McDash.exe, mcdetect.exe, mcinfo.exe, mcmnhdlr.exe, mcshield.exe, mctskshd.exe, mcupdate.exe, mcvsescn.exe, mcvsftsn.exe, mcvsrte.exe, mcvsshld.exe, mpf.exe, MpfAgent.exe, MpfConsole.exe, Mpfsheild.exe.

    N
    Navapsvc.exe, Navapw32.exe, nisserv.exe, NISUM.exe, NMain.exe.

    P
    PavPrSrv.exe, PAVSRV51.EXE, pccclient.exe, pccguide.exe, pcclient.exe, pccnt.exe, pccntmon.exe, pccntupd.exe, pccpfw.exe, PcCtlCom.exe, pcscan.exe.

    V
    Vet32.exe, VetMsg.exe, VetNT.exe, VetTray.exe, vshwin32.exe, vsmain.exe, vsmon.exe, vstskmgr.exe.

    Z
    zapro.exe, zlclient.exe, zonealarm.exe.
    Estos procesos pertenecen, entre otros, a diversas herramientas de seguridad, como por ejemplo programas antivirus y cortafuegos.
  • Impide el acceso al Registro de Windows.
  • Elimina la opción Ejecutar del menú Inicio.
  • Oculta las extensiones de los archivos BAT, COM, EXE y SRC.
  • Impide explorar el disco duro a través del Explorador de Windows.

Metodo de Infección 

Nedro.B crea los siguientes archivos:

  • LSASS.EXE, que es una copia del gusano, y ROOTLFOLDER.COM en la unidad C:.
  • DLLHOST.COM en los siguientes directorios:
    - directorio de sistema de Windows.
    - subcarpeta SETUP del directorio de Windows.
    - en el directorio de Inicio.
    Este archivo es una copia del gusano.
  • AUTORUN.INI en el directorio de Windows. Este archivo también es una copia del gusano.
  • LSASS.EXE.EXE y MSWORD.EXE en el directorio de Windows.
  • MY FOLDER.COM y RATED R PICTURES.COM en el directorio Mis Documentos.
  • NET CONNECTION.COM en la subcarpeta NETHOOD del directorio Documents and Settings del usuario afectado.
  • PRINTING INFORMATION.COM en la subcarpeta PRINTHOOD del directorio Documents and Settings del usuario afectado.
  • NEW MICROSOFT WORD DOCUMENT.SCR en la subcarpeta RECENT del directorio Documents and Settings del usuario afectado.
  • MY DOCUMENTS.COM en la subcarpeta SENDTO del directorio Documents and Settings del usuario afectado.
  • MY COMPUTER.COM en el menú Inicio del usuario afectado.
  • MICROSOFT WORD DOCUMENT.SCR en el Escritorio.
  • NEW MICROSOFT WORD DOCUMENT.SCR en el menú Inicio.
  • MICROSOFT WORD DOCUMENT.SCR en la opción Programas del menú Inicio.

 

Nedro.B crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ policies\ Explorer\ Run
    (Default) = %sysdir%\dllhost.com
    donde %sysdir% es el directorio de sistema de Windows.
    Mediante esta entrada, Nedro.B consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    (Default) = \lsass.exe
    Mediante esta entrada, Nedro.B consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    WinRun = %windir%\AutoRun.ini
    donde %windir% es el directorio de Windows.
    Mediante esta entrada, Nedro.B consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Policies\ System
    DisableRegistryTools = 1
    Mediante esta entrada, Nedro.B impide el acceso al Registro de Windows.
  • HKEY_CLASSES_ROOT\ batfile
    NeverShowExt
  • HKEY_CLASSES_ROOT\ comfile
    NeverShowExt
  • HKEY_CLASSES_ROOT\ exefile
    NeverShowExt
  • HKEY_CLASSES_ROOT\ scrfile
    NeverShowExt
    Mediante estas entradas, Nedro.B oculta las extensiones de los archivos BAT, COM, EXE y SRC.

 

Nedro.B modifica las siguientes entradas del Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon
    Shell = explorer.exe lsass.exe.exe
    Mediante esta modificación, Nedro.B consigue ejecutarse cada vez Windows se inicia.
  • HKEY_CLASSES_ROOT\ artfile\ shell\ open\ command
    (Default) = %windir%\setup\dllhost.com" %1
  • HKEY_CLASSES_ROOT\ datfile\ shell\ open\ command
    (Default) = %windir%\setup\dllhost.com" %1
  • HKEY_CLASSES_ROOT\ AVIFile\ shell\ open\ command
    (Default) = %windir%\setup\dllhost.com" %1
  • HKEY_CLASSES_ROOT\ inifile\ shell\ open\ command
    (Default) = %1 %*
  • HKEY_CLASSES_ROOT\ piffile\ shell\ open\ command
    (Default) = %windir%\setup\dllhost.com" %1
    donde %windir% es el directorio de Windows.
    Mediante estas modificaciones, Nedro.B consigue ejecutarse cada que se ejecute un archivo con extensión ART, AVI, DAT, INI y PIF.
  • HKEY_CLASSES_ROOT\ scrfile\ defaulticon
    (Default) = C:\Program Files\Microsoft Office\Office\Winword.exe,1
    Mediante esta modificación, Nedro.B consigue que los archivos con extensión SCR tengan el icono de Word.

Método de Propagación 

Nedro.B está programado para propagarse a través de IRC y del programa de mensajería instantánea Yahoo Messenger.

Otros Detalles  

Nedro.B está escrito en lenguaje de programación Visual Basic v6. Este gusano tiene un tamaño de 184320 Bytes.

>
Soporte técnico
Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info