Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Hatoy.A
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Hatoy.A redirecciona buscadores web típicos de Internet (google.com, altavista.com, etc) vistos en Internet Explorer, a la dirección IP 207.44.220.30. Cuando el usuario intenta abrir uno de estos buscadores en el navegador, automáticamente los redirecciona a la dirección IP comentada anteriormente, que puede albergar diferentes páginas web. Por ejemplo:

Metodo de Infección

Hatoy.A crea los siguientes ficheros:

WINLOG, en el directorio de Windows. Hatoy.A comprueba mediante este fichero, si el ordenador ha sido afectado.
HOSTS, en el subdirectorio HELP del directorio de Windows. Este fichero redirecciona los buscadores típicos de Internet, como por ejemplo, google.com o altavista.com, a la dirección IP 207.44.220.30.

Hatoy.A crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\Parameters
"DataBasePath" = %SystemRoot%\help
Con esta entrada, Hatoy.A cambia el directorio por defecto del fichero HOSTS .
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
"Search Bar" = http://www.google.com/ie
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
"Use Search Asst" = no
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ SearchUrl
"(Default)" = http://www.google.com/keyword/%s
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
"Search Page" = http://www.google.com
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ SearchUrl
"provider" = gogl
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Internet Explorer\ Search
"SearchAssistant" = http://www.google.com/ie
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ Tcpip\ Parameters\ Interfaces\ windows
"r0x" = your s0x

Hatoy.A realiza el siguiente proceso:

Cuando el usuario accede a una página web maliciosa, ésta intenta aprovecharse de la vulnerabilidad Etiqueta de Objeto.
Esta vulnerabilidad permite que se ejecute automáticamente código de Visual Basic Script en el ordenador afectado.
El código crea en el directorio TEMP el fichero AOLFIX.EXE, aunque su nombre pueda variar, que es una copia del troyano. También crea el fichero O.BAT.
O.BAT ejecuta el fichero del troyano AOLFIX.EXE, que se encarga de crear las entradas del Registro de Windows y los ficheros comentados más arriba.

Después de que el troyano haya realizado sus acciones, el fichero O.BAT se encarga de borrarse a sí mismo y al fichero AOLFIX.EXE del ordenador afectado.

Método de Propagación

Hatoy.A llega al ordenador afectado cuando el usuario accede a una página web maliciosa que intenta aprovecharse de la vulnerabilidad Etiqueta de Objeto. Esta vulnerabilidad permite ejecutar automáticamente el código de Visual Basic Script en el ordenador afectado.

Este código crea en el directorio TEMP una copia del troyano.

Otros Detalles

Hatoy.A está escrito en el lenguaje de programación Visual Basic Script y Visual C. El troyano tiene un tamaño de 57344 Bytes.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info