Troj/Canbot.A. Troyano que se propaga por AIMNombre: Troj/Canbot.A
Nombre NOD32: Win32/VB.DG
Tipo: Caballo de Troya de acceso remoto
Alias: Canbot, Win32.Canbot.A, AIM-Canbot, W32.Spybot.Worm, W32/Vb.AR, Win32/VB.DG.Trojan, Trojan.Win32.VB.dg
Plataforma: Windows 32-bit
Tamaño: variable
Este caballo de Troya permite a un usuario remoto el acceso no autorizado a la computadora infectada.
Para funcionar correctamente, requiere la presencia del archivo MSWINSCK.OCX, un componente de Visual Basic usado para establecer una conexión a Internet (Windows Socket Communications o Microsoft Winsock Control). Este archivo no se instala por defecto en Windows, pero puede ser instalado por algunas aplicaciones o programas.
Si este archivo no existe, el troyano desplegará un mensaje de error y no hará nada más.
Si se ejecuta, intentará copiarse a si mismo en la siguiente ubicación:
c:\windows\system32\winupdat.exe
En ocasiones esto puede fallar por un error en su código.
Si logra copiarse, agrega la siguiente entrada en el registro, para ejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
winupdat = winupdat.exe
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El troyano crea un servidor proxy Socks5 en el puerto 3337, y modifica o agrega las siguientes entradas en el registro para redireccionar al cliente de AOL Instant Messenger (AIM) a través del proxy creado:
HKCU\Software\America Online
\AOL Instant Messenger (TM)\CurrentVersion\Proxy
Protocol = "SOCKS5"
host = "localhost"
port
Enabled = 1
HKCU\Software\America Online
\AOL Instant Messenger (TM)\CurrentVersion\Server
Port = 5190
Host = "login.oscar.aol.com"
El proxy creado retransmite todo el tráfico legítimo de Internet del usuario infectado, de y hacia el servidor de AIM. Esto aparenta proporcionar al usuario una conexión ininterrumpida, pero sirve para ocultar las actividades de puerta trasera del troyano en el equipo infectado, que permiten el acceso al mismo a un usuario remoto.
Este intruso, podrá realizar las siguientes acciones:
- Crear copias del troyano (iniciar múltiples ejecuciones)
- Ejecutar o borrar archivos
- Finalizar procesos
- Listar puertos activos y conexiones
- Obtener información de archivos (tamaño, fecha, atributos)
- Subir o descargar archivos
- Terminar la ejecución del troyano
- Visualizar directorios
El troyano también puede iniciar un servidor VNC (Virtual Network Computing) para ofrecer una interfase visual al usuario remoto con el equipo infectado. Esto requiere que el equipo tenga instaladas ciertas librerías usadas por un servidor o cliente VNC.
Abre también el puerto 3338 para ejecutar un servidor HTTP que ofrece copias del troyano. Luego, envía mensajes a usuarios de la red AIM. La segunda línea del mensaje es un enlace que apunta a las copias ofrecidas por el servidor HTTP mencionado antes. Esta es la lista de posibles mensajes:
Hey, this is a pic of the cam im getting!
click here
Yo!! Im gettin this camara!
piC
suP im geTten THis cAm from BestBuy
piC
loL.. Check this cam im gettin from bestbuy
Pic - Mini DV Digital
El troyano también crea el archivo C:\LSEDFQWE.TXT para almacenar la lista de puertos activos en el sistema infectado.
Más información:
http://www.vsantivirus.com/troj-canbot-a.htmTroj/Agent.CJ. Finaliza antivirus, descarga códigoNombre: Troj/Agent.CJ
Nombre NOD32: Win32/TrojanDownloader.Agent.CJ.gen
Tipo: Caballo de Troya
Alias: Troj/Small-KV, W32/Bagle.dll.dr, TrojanDownloader.Win32.Agent.cj, Win32/TrojanDownloader.Agent.CJ.gen, Download.Ject.C
Relacionados: Exploit/ObjectData, CHM/Psyme.N, JS/Psyme.N, Troj/Agent.EK
Plataforma: Windows 32-bit
Tamaño: 9,728 bytes, 4,992 bytes (FSG)
Se ha detectado el envío masivo por medio de spam, de mensajes con las siguientes características:
De: [dirección falsa]
Para: [dirección falsa]
CC: [varias direcciones]
Asunto: [alguno de los siguientes]
1.jpg
2.jpg
3.jpg
4.jpg
5.jpg
[etc...]
Texto:
[vacío]
Account update
Datos adjuntos: [uno de los siguientes]
1.gif
2.gif
3.gif
4.gif
5.gif
[etc...]
En ocasiones no existe archivo adjunto. Cuando existe, el archivo no contiene código malicioso (tampoco se trata en realidad de una imagen), y es totalmente inofensivo.
El cuerpo del mensaje puede parecer en blanco (si se tiene la vista en modo HTML), pero contiene el código para explotar una vulnerabilidad del Internet Explorer que permite la descarga de una página en un sitio remoto, la cuál es detectada como CHM/Psyme.N. Este archivo utiliza un exploit que permite la ejecución de un código en JavaScript detectado como JS/Psyme.N.
Este código descarga y abre un archivo llamado DEFAULT.CHM de un dominio que actualmente es www .vikord .com, aprovechando la vulnerabilidad identificada como "MHTML URL Processing Vulnerability".
Esta vulnerabilidad es causada por un error en el manejador MHTML, que permite procesar cualquier archivo, incluido texto, como si fuera un HTML, y está documentada en el siguiente boletín de Microsoft:
MS04-013 Parche acumulativo para Outlook Express (837009)
http://www.vsantivirus.com/vulms04-013.htmSe descarga entonces un ejecutable llamado DEFAULT.EXE, utilizando la vulnerabilidad ADODB.STREAM, que se copia como WMPLAYER.EXE, sobrescribiendo automáticamente el archivo del mismo nombre si se encuentra en cualquiera de las siguientes ubicaciones de la máquina infectada:
C:\Programmer\Windows Media Player\
C:\Program\Windows Media Player\
C:\Programme\Windows Media Player\
C:\Programmi\Windows Media Player\
C:\Programfiler\Windows Media Player\
C:\Programas\Windows Media Player\
C:\Archivos de programa\Windows Media Player\
C:\Program Files\Windows Media Player\
Aunque el exploit que descarga y ejecuta a este troyano, solo funciona en Windows NT, 2000 y XP, el script y el propio troyano pueden ejecutarse en cualquier otro Windows.
Cuando WMPLAYER.EXE se ejecuta, se crean los siguientes archivos:
c:\windows\system32\doriot.exe
c:\windows\system32\gdqfw.exe
DORIOT.EXE es una copa del troyano, y GDQFW.EXE es el módulo de descarga.
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El troyano crea también la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
wersds = c:\windows\system32\doriot.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
wersds = c:\windows\system32\doriot.exe
DORIOT.EXE inyecta un hilo en el proceso de EXPLORER.EXE para ejecutar su componente GDQFW.EXE (el troyano propiamente dicho), quedando de este modo activo en memoria, sin ser visible en la lista de procesos del Administrador de Tareas.
Al ejecutarse, intenta finalizar la ejecución de los siguientes procesos, correspondientes a determinados antivirus y cortafuegos:
atupdater.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avpupd.exe
avwupd32.exe
avxquar.exe
cfiaudit.exe
drwebupw.exe
escanh95.exe
escanhnt.exe
firewall.exe
icssuppnt.exe
icsupp95.exe
luall.exe
mcupdate.exe
nupgrade.exe
outpost.exe
update.exe
El troyano intenta descargar un archivo desde determinados sitios de Internet. Si lo logra, lo copia en la siguiente ubicación y con el siguiente nombre:
c:\windows\_re_file.exe
El troyano intentará descargar ese archivo de cualquiera de los siguientes dominios:
allianzsp .sk
coolweb .psg .sk
cryofthespirit .com
dollypop .com
execpage .com
helpdemos .com
helpingyouth .org
jamesbronner .com
koti .pl
miracle .v6 .cz
mountainwings .com
mountainwings4 .com
naturalpros .com
oracal .pl
shock .evernet .com .pl
SportLine .go .ro
stroipolymer .ru
theonlineword .com
virtualchurch .com
visionforsouls .org
wingsoverlife .com
www .1800thewoman .com
www .1944 .pl
www .45partsdepot .com
www .7pe .friko .pl
www .air-computers .com .ar
www .ametist .spb .ru
www .apodis .pl
www .arrasy .pl
www .arthurspeaks .com
www .astermed .pl
www .atomique .pl
www .atw .hu
www .avatar .ee
www .avers .com .pl
www .baltexpo .spb .ru
www .bomart .cz
www .bravo .gliwice .pl
www .bronnerbros .com
www .buycare .com
www .cumparacd .go .ro
www .da-rom .co .il
www .domu .net
www .eastandard .co .ke
www .elblu .republika .pl
www .elcorsy .com
www .elite-style .com
www .enduser1 .fast .net
www .enitex .by
www .enitex-m .by
www .eris .pl
www .europharm .pl
www .extreme-racing .lg .ua
www .fotel .pl
www .fotolab .sk
www .frater .hu
www .gardameditech .com
www .generex .de
www .goldgates .com
www .goodboy .dem .ru
www .hards .pl
www .healthcometh .com
www .holz-studio .at
www .ibplus .sk
www .icpnet .pl
www .icpnet .pl
www .inlan .sk
www .jamesbronner .com
www .jbplus .cz
www .justmatchit .com
www .kubtelecom .ru
www .kuda .com .ua
www .lacittadifiorenzuola .it
www .lotusdog .net
www .ltvo .spb .ru
www .master .pl
www .members .aon .at
www .moteplassen1 .com
www .mountainwings2 .com
www .multifoto .sk
www .nadodrze .pl
www .nairobiwebspace .com
www .nameitright .com
www .nardo .bbe .pl
www .netland .gda .pl
www .netta .pl
www .nikola .piwko .pl
www .ntrlab .com
www .nustep .sk
www .octava .pl
www .odevnictvo .sk
www .oftza .friko .pl
www .oktbroiler .ru
www .online40 .com
www .online50 .com
www .oto .lv
www .pancoopzsv .co .yu
www .pay5495 .com
www .pc-hard .com .ua
www .perfect-beauty .at
www .pharmag .pl
www .polsl .katowice .pl
www .prophetcollins .com
www .propi .cz
www .pursuit .rv .ua
www .pyrlandia-boogie .pl
www .quatro .sk
www .r-bazar .ru
www .roszkowski .pl
www .silvic .ro
www .sincron .go .ro
www .skylive .pl
www .smgkrc .pl
www .soulring .com
www .star-max .it
www .sunbud .com .pl
www .swez .net
www .system5electronics .com
www .tcvwebtv .com .ar
www .thewoman .com
www .tivis .cz
www .ukpl .pl
www .vacation-network .net
www .wyspian .iap .pl
www .zasada-rowery .pl
Relacionados:
Exploit/ObjectData. Intenta descargar y ejecutar código
http://www.vsantivirus.com/exploit-objectdata.htmCHM/Psyme.N. Intenta descargar y ejecutar troyano
http://www.vsantivirus.com/chm-psyme-n.htmJS/Psyme.N. Descarga y ejecuta un troyano
http://www.vsantivirus.com/js-psyme-n.htmTroj/Agent.EK. Finaliza antivirus, descarga código
http://www.vsantivirus.com/troj-agent-ek.htmMás información:
http://www.vsantivirus.com/troj-agent-cj.htmTroj/Back.Genme.C. Llega en enlaces a sitios WebNombre: Troj/Back.Genme.C
Nombre NOD32: Win32/Genme.C
Tipo: Caballo de Troya
Alias: Genme.C, BackDoor.Xebiz, BackDoor-CGT, Genme.B, SS.EXE, TR/SPY.100ss.A.1, Trj/Xebiz.A, Troj/Xebix.A, Trojan.DR.Small.LA, Trojan.Genme.C, Trojan.Win32.Genme.a, Trojan.Win32.Genme.c, Trojan:Win32/Genme.C, W32/Genme.C, W32/Xebiz.A, Win32.DKS.D, Win32.DKS.E, Win32/DKS.E.Trojan, Win32/Genme.C, Worm.Win32.Randon.AE, Xebiz.A
Plataforma: Windows 32-bit
Tamaño: 15,360 bytes, 3,072 bytes
Troyano de acceso por puerta trasera que permite a un usuario remoto realizar diferentes acciones en la computadora infectada.
Ha sido reportado en múltiples mensajes enviados como spam, conteniendo enlaces a sitios Web que contienen el troyano.
También podría ser descargado directamente al visitar sitios maliciosos.
Si el usuario sigue el enlace, descarga un archivo generalmente llamado LINKS.HTA, el cual se puede ejecutar automáticamente si no se tienen las últimas actualizaciones de Microsoft instaladas, creando y ejecutando al propio troyano con el nombre de SS.EXE.
Si eso ocurre, el troyano se copia a si mismo en la siguiente ubicación:
c:\windows\system\ss.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
También crea los siguientes archivos:
c:\windows\system\ss.dat
c:\windows\system\dss.dll
c:\windows\system\dssa.dll
SS.DAT es una copia encriptada del troyano, DSS.DLL lanza al troyano, y DSSA.DLL lo restaura desde la copia en SS.DAT.
También crea la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
ss = {????????-????-????-????-????????????}
Donde {????????-????-????-????-????????????} es un identificador de clase (CLSID, un identificador universal exclusivo -UUID- que identifica un componente, en el registro de Windows de forma que otras aplicaciones puedan cargarlo). Es creado en el momento por el troyano y siempre tendrá un valor diferente.
Agrega la siguiente entrada en el registro para cargarse en el inicio de Windows:
HKCR\CLSID
\{????????-????-????-????-????????????}\InProcServer32
(Predeterminado) = dssa.dll
El troyano abre un puerto TCP al azar y envía una notificación de su presencia a un atacante remoto. Esta información contiene el número del puerto abierto y la dirección IP actual de la PC infectada.
Para ello, la información utilizada, es almacenada en la siguiente clave del registro, la que es utilizada para conectarse al sitio de referencia, y para enviar dichos datos:
HKCU\Software\Microsoft\Internet Connection Wizard
ShellNext = [sitio]?Client=[IP]&Name=[puerto]
Más información:
http://www.vsantivirus.com/troj-back-genme-b.htm
Troj/Back.Genme.B. Llega en enlaces a sitios WebNombre: Troj/Back.Genme.B
Nombre NOD32: Win32/Genme.B
Tipo: Caballo de Troya
Alias: Genme.B, Backdoor.GenMe.A, BackDoor.Xebiz, BackDoor-CGT, TR/SPY.100ss.A.1, Trj/Xebiz.A, TROJ_GENME.A, Trojan.Genme.A, Trojan.Win32.Genme.b, Win32.DKS.C, Win32/Genme.B
Plataforma: Windows 32-bit
Tamaño: 15,360 bytes, 3,072 bytes
Troyano de acceso por puerta trasera que permite a un usuario remoto realizar diferentes acciones en la computadora infectada.
Ha sido reportado en múltiples mensajes enviados como spam, conteniendo enlaces a sitios Web que contienen el troyano.
También podría ser descargado directamente al visitar sitios maliciosos.
Si el usuario sigue el enlace, descarga un archivo generalmente llamado LINKS.HTA, el cual se puede ejecutar automáticamente si no se tienen las últimas actualizaciones de Microsoft instaladas, creando y ejecutando al propio troyano con el nombre de SS.EXE.
Si eso ocurre, el troyano se copia a si mismo en la siguiente ubicación:
c:\windows\system\ss.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
También crea los siguientes archivos:
c:\windows\system\ss.dat
c:\windows\system\dss.dll
c:\windows\system\dssa.dll
SS.DAT es una copia encriptada del troyano, DSS.DLL lanza al troyano, y DSSA.DLL lo restaura desde la copia en SS.DAT.
También crea la siguiente entrada en el registro:
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
ss = {????????-????-????-????-????????????}
Donde {????????-????-????-????-????????????} es un identificador de clase (CLSID, un identificador universal exclusivo -UUID- que identifica un componente, en el registro de Windows de forma que otras aplicaciones puedan cargarlo). Es creado en el momento por el troyano y siempre tendrá un valor diferente.
Agrega la siguiente entrada en el registro para cargarse en el inicio de Windows:
HKCR\CLSID
\{????????-????-????-????-????????????}\InProcServer32
(Predeterminado) = dssa.dll
El troyano abre un puerto TCP al azar y envía una notificación de su presencia a un atacante remoto. Esta información contiene el número del puerto abierto y la dirección IP actual de la PC infectada.
Para ello, la información utilizada, es almacenada en la siguiente clave del registro, la que es utilizada para conectarse al sitio de referencia, y para enviar dichos datos:
HKCU\Software\Microsoft\Internet Connection Wizard
ShellNext = [sitio]?Client=[IP]&Name=[puerto]
Más información:
http://www.vsantivirus.com/troj-back-genme-b.htmAdware/Keenval.F. Modifica la configuración del IENombre: Adware/Keenval.F
Nombre NOD32: Win32/TrojanDownloader.Keenval.F
Tipo: Caballo de Troya del tipo Adware
Alias: Keenval.F, Adware.Incredifind, Adware.Keenval, Adware.KeenValue.B, Adware/BHO, Adware/KeenValue, Adware-KeenValue, Backdoor.Blarul.D, Downloader.Keenval.M, Downloader.Keenval.N, TR/Dldr.Keenval.B.4, Troj/Keenval.F, Trojan.Downloader, Trojan.Downloader.KeenValue.A, Trojan.Startpage.Erfec, Trojan.Trojandownloader.Nsis.Gen, TrojanDownloader.Small.B, TrojanDownloader.Win32.Keenval.e, TrojanDownloader.Win32.Keenval.E, TrojanDownloader:Win32/Small.BX, Win32/TrojanDownloader.Keenval.F, Win32:Trojan-gen. {Other}, Win32:Trojan-gen. {VC}
Plataforma: Windows 32-bit
Tamaño: 167,936 bytes
Se trata de una aplicación que se instala como adware, mostrando enlaces de publicidad y redireccionando al Internet Explorer a sitios relacionados con la publicidad mostrada, por medio de la modificación de la configuración del navegador.
Esto no se hace con el conocimiento y la aceptación del usuario que desconoce la clase de cambios que se producirán en su sistema.
No se instala automáticamente, debe ser ejecutado por el usuario, generalmente simulando ser alguna clase de aplicación beneficiosa, o necesaria para visualizar determinados sitios. Sin embargo, no muestra ninguna clase de interfase ni mensajes relacionados, instalando silenciosamente diversos archivos en una carpeta llamada "KeenValue" que genera dentro de la carpeta de archivos de programa. Según el idioma, esto puede ser en alguna de las siguientes ubicaciones:
\Program Files\Common Files\KeenValue
\Archivos de programa\Archivos comunes\KeenValue
Dentro de la carpeta "KeenValue", crea los siguientes archivos:
iesliderwin32.dll (94,208 bytes)
keenvalue.exe (167,936 bytes)
killkeenvalue.exe (28,672 bytes)
kv001.dat (49 bytes)
kv002.dat (2,012 bytes)
kv099.dat (72 bytes)
kvlhookwin.dll (24,576 bytes)
kwm.exe (32,768 bytes)
senduninstallinfo.exe (90,193 bytes)
uninstall.exe (33,572 bytes)
Agrega la siguiente entrada al registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] = keenvalue.exe
Más información:
http://www.vsantivirus.com/adware-keenval-f.htmRolog Virus que se propaga a través de discos flexibles. Busca ficheros con extensión TXT para crear copias de sí mismo con el nombre de los TXT encontrados, pero poniendo la extensión SCR.
Modifica el fichero AUTOEXEC.BAT, e intenta borrar la carpeta C:\Windows y C:\Archivos de Programa.
Descarga el fichero HALLO.RORO.HTT en todas las subcarpetas. Utiliza un fichero HTT para configurar una vista web de la carpeta, en la que ese tipo de ficheros queradan ocultos.
El contenido del fichero son mensajes de caracter sentimental y declaraciones de amor.
Nombre completo: Worm.W32/Rolog@FLOPPY
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Mecanismo principal de difusión: [FLOPPY] - Se propaga mediante copias en los disquetes de la unidad A:.
Tamaño (bytes): 133632
Tamaño comprimido (bytes): 75889
Alias:WORM_ROLOG.A (Trend Micro)
El gusano solamente se ejecuta de forma manual. Cuando ello sucede, se registra como proceso de servicio de modo que no sea visible en la lista de tareas cuando se pulsa CTRL-ALT-DEL en sistemas Windows 95, 98, y ME.
Tras la ejecución, deja copias de si mismo en la carpeta del sistema de Windows con el nombre SYSSRV.EXE. Como mecanismo de protección, modificará la configuración del explorador de Windows, para ocultar ficheros con determinados tipos de extensión.
Añade las siguientes entradas al registro para iniciar su ejecución junto al arranque de Windows:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
syssrv = "%System%\syssrv.exe"
Nota: %System% representa la carpeta del sistema de Windows; Normalmente será
C:\Windows\System en Windows 95, 98, y ME, C:\WINNT\System32 en Windows NT and 2000, o
C:\Windows\System32 en Windows XP.)
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
load = "%System%\syssrv.exe"
En Windows 95, 98, y ME, modificará el fichero %Windows%\Win.ini añadiendo los siguientes datos en la sección
Load = "%System%\syssrv.exe"
Nota: %Windows% representa la carpeta de Windows, que suele ser C:\Windows o C:\WINNT.
Propagación
El gusano solamente se propaga a través de discos flexibles. Busca ficheros con extensión TXT para crear copias de sí mismo con el nombre de los TXT encontrados, pero poniendo la extensión SCR.
Modifica el fichero AUTOEXEC.BAT, e intenta borrar la carpeta C:\Windows y C:\Archivos de Programa.
Descarga el fichero HALLO.RORO.HTT en todas las subcarpetas. Utiliza un fichero HTT para configurar una vista web de la carpeta, en la que ese tipo de ficheros queradan ocultos.
El contenido del fichero son mensajes de caracter sentimental con el siguiente formato:
Hallo Rosuroheart...
....
(mensaje variable)
....
March 20, 2003
By Red-Love STMIK@IGM
[email protected]Los mensajes podrán ser alguno de los siguientes:
Mystery of your heart, your smile, unbreakable! Roro, I'll never stop loving U until the end of the time...
This heart is to young to know that love hurts. It takes sacrifice if someone wants to know love, people release all they have for love.
It's all about you, it's all about heart and love, again. Trust in me. I just want to justified these emotions running inside. My mind, my heart, my head, my soul. I'd like to hear you say you feel it too, to know you feel the way I do.
You're look so nice in my eyes. The sound of your voice is like a melody in my heart. I love the way you talk and walk, the way you keep your behavior. You're so women!
Please don't ever think that you're not perfect. I'm just letting my heart say something about you. Something that I can't speak out to you because my lips locked. You'll be in my heart, and the only one I love.
Haven't you know? You're the first girl I love, the deepest love I've ever had. Feels like you're standing in front of me when I'm calling out your name in my tears. Whenever I think about you, I'm wondering if you ever think of me too.
Otros detalles
Está escito en lenguaje de alto nivel Delphi, y contiene la siguiente cadena de texto dentro de su código: "Roro I Love U"
Más información:http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4223
Bancos.BS Troyano residente en memoria, capaz de capturar información personal mediante la monitorización de las actividades realizadas en determinadas páginas cuando son mostradas en el navegador.
Nombre completo: Trojan.W32/Bancos.BS
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
w32
Tamaño (bytes): 612967
Alias:TROJ_BANCOS.BS (Trend Micro)
Detalles
Actividad
Se mostrará una ventana FALSA que imita fielmente el acceso a la información reservada, cuando en el navegador se teclea alguna de las siguientes direcciones:
https://bankline.itau.com.br/GRIPNET/gracgi.exe https://ibpf.unibanco.com.br/index.asp https://internetcaixa.caixa.gov.br/NASApp/SIIBC/index_verif.processa https://internetcaixa.caixa.gov.br/NASApp/SIIBC/Login_ok.processa https://www2.bancobrasil.com.br/aapf/aai/login.pbk https://wwwss.bradesco.com.br/scripts/ib2k1.dll/LOGIN La información capturada será enviada al autor del troyano a través de correo electrónico.
Propagación
Normalmente llegará en un fichero auto-extraible con formato .RAR . Tras la ejecución, descargará el fichero CI0-SYSTREE.EXE en la siguiente ubicación:
C:\Windows\systens\
Nota: Dicha ubicación está escrita dentro del código del Troyano
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4224Keenval.F Aplicación con características de troyano, muestra enlaces conteniendo programas que contienen algún tipo de Adware. Redirecciona el Internet Explorer a otros sitios.
Nombre completo: Trojan.W32/Keenval.F
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/TrojanDownloader.Keenval.F (ESET (NOD32))
Detalles
El troyano debe ser ejecutado por el usuario, cuando se ejecuta no muestra en pantalla ningún tipo de mensaje o ventana.
Crea los siguientes archivos dentro de la carpeta "C:\Archivos de programa\Archivos comunes\KeenValue":
iesliderwin32.dll
keenvalue.exe
killkeenvalue.exe
kv001.dat
kv002.dat
kv099.dat
kvlhookwin.dll
kwm.exe
senduninstallinfo.exe
uninstall.exe
Crea la siguiente clave en el registro para ejecutarse en cada inicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
[nombre] = keenvalue.exe
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4225Genme.C Troyano residente en memoria, se propaga al ser descargado desde algún sitio web, también cierto tipo de malware descarga dicho virus. Libera e instala varios archivos en el equipo infectado.
Nombre completo: Backdoor.W32/Genme.C
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/Genme.C (Enciclopedia Virus (Ontinent))
Detalles
Cuando el troyano se ejecuta crea los siguientes archivos dentro de la carpeta C:\WINDOWS\SYSTEM:
dss.dll
dssa.dll
ss.dat
ss.exe
De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Obtiene la dirección IP del equipo infectado, después abre puertos al azar y espera comandos remotos.
El troyano crea la siguiente clave en el registro para guardar información que utiliza.
HKCU\Software\Microsoft\Internet Connection Wizard
ShellNext =
http://genmexe.biz/list/index.php?Client =
[número de IP]&Name=[puerto]
Para ejecutar el archivo "dssa.dll" cada vez que el "explorer.exe" sea cargado crea las siguientes claves:
HKLM\Software\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad
Ss = :[clave CLSID referida al archivo DSSA.DLL]
HKCR\CLSID\{Generated CLSID}
\InProcServer32
Default = dssa.dll
Se carga en memoria y utiliza un mutex para indicar su presencia en memoria.
El troyano se conecta a un sitio web para enviar la dirección IP y el puerto abierto en el equipo infectado, esto permite que un atacante externo pueda acceder al equipo.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4222
Tibick Tibick es un gusano que se difunde mediante redes de intercambio de fichero P2P. Tiene capacidad limitada de puerta trasera, que permite a su controlador descargar y ejecutar ficheros de su elección en la máquina infectada.
Nombre completo: Worm.W32/Tibick@P2P
Tipo: [Worm] - Programa que se replica copiándose entero (sin infectar otros ficheros) en la máquina infectada, y a través de redes de ordenadores
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P] - Se difunde por redes de compartición de ficheros P2P (peer to peer)
Alias:Win32.Tibick.A (Computer Associates), Worm.P2P.Tibick (Kaspersky (viruslist.com)), W32.Tibick (Symantec)
Detalles
Cuando se ejecuta, Tibick se copia en %System\svcnet.exe y añade las siguientes entradas al registro para ser ejecutado cada vez que un usuario inica la sesión:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
System Restore = svcnet.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
System Restore = svcnet.exe
Donde %system% representa la carpeta de sistema de Windows, por defecto C:\Windows\System32 en Windows XP.
También crea un mutex llamado 'svcnet.exe' para evitar que se ejecuten múltiples instancias del gusano.
Este gusano intenta difundirse mediante redes de intercambio de ficheros P2P. Comprueba si hay en la máquina instalaciones de varias aplicaciones populares de intercambio de ficheros. Si las encuentra, hace cambios en el registro y/o en ficheros de configuración para conpartir copias suyas.
El gusano crea el directorio %Windows%\msview, y se copia con nombres que pretenden ser atractivos para otros usuarios de programas P2P (ver abajo)
Tibick compureba las siguientes entradas del registro:
HKCU\Software\Kazaa\LocalContent
HKCU\Software\iMesh\Client\LocalContent
y si alguna de ellas existe, edita las siguientes configuraciones del registro:
HKCU\Software\Kazaa\Advanced\SuperNode = 0
HKCU\Software\Kazaa\LocalContent\DisableSharing = 0
HKCU\Software\Kazaa\ResultsFilter\firewall_filter = 0
HKCU\Software\Kazaa\ResultsFilter\virus_filter = 0
HKCU\Software\Kazaa\Transfer\UploadBandwidth = 0
HKCU\Software\Kazaa\Transfer\ConcurrentUploads = 0
HKCU\Software\Kazaa\LimitBitrate = 0
HKCU\Software\Kazaa\Advanced\ScanFolder = 0
HKCU\Software\Kazaa\Transfer\NoUploadLimitWhenIdle = 1
HKCU\Software\Kazaa\DontShow\CloseToSystray = 1
HKCU\Software\Kazaa\InstantMessaging\IgnoreAll = 1
HKCU\Software\Kazaa\LocalContent\DisableListFiles = 1
HKCU\Software\Kazaa\UserDetails\AutoConnected = 1
HKCU\Software\iMesh\Client\LocalContent\Disablesharing = 0
HKCU\Software\iMesh\Client\LocalContent\ConcurrentUploads = 0
A continuación edita los siguientes valores del registro para añadir la carpeta %Windows%\msview a la lista de carpetas compartidas:
HKCU\Software\Kazaa\LocalContent\Dir0 = 012345:%Windows%\msview
HKCU\Software\iMesh\Client\LocalContent\Dir0 = 012345:%Windows%\msview
Comprueba la siguiente clave del registro para averiguar si Morpheus está instalado:
HKLM\SOFTWARE\Morpheus
Si lo está, obtiene el directorio de instalación del siguiente valor:
HKLM\SOFTWARE\Morpheus\Install_Dir
Donde edita el fichero de configuración MorphConfig, añadiendo las siguientes líneas:
[Share]
Dir0 = %Windows%\msview
Dir1 = %Windows%\msview.
...
Dir100 = %Windows%\msview
Comprueba si está instalando WarezP2P mediante la siguiente clave del registro:
HKCR\warep\shell\open\command
Si la encuentra, edita el fichero %install dir%\Data\Shared Folders.txt para incluir %Windows%\msview y poder difundirse mediante esta aplicación.
Comprueba si eMule está instalado comprobando la siguiente entrada:
HKCU\Software\eMule\Install Path
y, si lo está, edita el fichero %install path%\config\shareddir.dat con el mismo propósito.
Finalmente, comprueba
HKLM\SOFTWARE\DC++\Install_Dir
y edita %install dir%\DCPlusPlus.xml para incluir %Windows%\msview.
Tibick contacta con un servidor IRC del dominio m00p.org para obtener una URL de donde descargar actualizaciones. El gusano intenta descargar el fichero en %System%\[nombre aleatorio].exe y ejecutarlo desde ese lugar.
Nombres de Ficheros Adjuntos (virus que llegan por correo)
VirtualLab Data Recovery crack.exe
Unreal Tournament 2004 NO CD crack.exe
Vampire - The Masquerade - Bloodlines Activision crack.exe
Unreal Tournament 2004 Crack.exe
Unreal Tournament 2004 crack (keygen).exe
Unreal Tournament 2004 Atari crack.exe
Trillian.exe
Unreal Tournament 2003 no cd crack.exe
Trillian crasher.exe
Tony Hawks Underground crack.exe
Tom Clancys Splinter Cell Ubisoft crack.exe
Tom Clancys Splinter Cell Pandora Tomorrow Ubisoft crack.exe
Tom Clancys Ghost Recon - Desert Siege no cd crack.exe
Tiger Woods PGA Tour 2004 crack.exe
The Suffering Midway crack.exe
Thief - Deadly Shadows Eidos Interactive crack.exe
The Suffering Encore Software Inc. crack.exe
The Sims no cd crack.exe
The Sims- Vacation no cd crack.exe
The Sims Double Deluxe no cd crack.exe
The Sims 2 crack.exe
The Sims Deluxe no cd crack.exe
The Sims - Vacation Expansion Pack no cd crack.exe
The Sims - Unleashed Expansion Pack no cd crack.exe
The Sims - Superstar Expansion Pack no cd crack.exe
The Sims - Makin Magic Expansion Pack no cd crack.exe
The Sims - Hot Date Expansion Pack no cd crack.exe
The Lord of the Rings The Return of The King crack.exe
The Lord of the Rings The Battle for Middle-earth EA Games crack.exe
The Legend of Zelda - The Minish Cap GBA Nintendo crack.exe
The Legend of Zelda - Four Swords Adventures GC Nintendo crack.exe
The Legend of Zelda (working title) GC Nintendo crack.exe
The Elder Scrolls III - Morrowind Game of the Year Edition Bethesda Softworks crack.exe
The Chronicles of Riddick - Escape From Butcher Bay VU Games crack.exe
Starcraft - Battlechest no cd crack.exe
Star Wars Knights of the Old Republic II - The Sith Lords LucasArts crack.exe
Star Wars Jedi Knight II- Jedi Outcast no cd crack.exe
Star Wars Jedi Knight II - Jedi Outcast no cd crack.exe
Star Wars Galactic Battlegrounds- Clone Campaigns no cd crack.exe
Star Wars - Knights of the Old Republic LucasArts crack.exe
Star Wars - Jedi Knight - Jedi Academy no cd crack.exe
SpywareBlaster.exe
Spyware Doctor.exe
Spyware Doctor Crack.exe
SpyHunter Crack.exe
SpyHunter.exe
Spybot - Search & Destroy.exe
Sponge Bob Square Pants - Operation Krabby Patty no cd crack.exe
Spider-Man 2 GC Activision crack.exe
Sonic the Hedgehog 3 crack.exe
Spider-Man 2 Activision crack.exe
SolSuite 2004 - Solitaire Card Games Suite.exe
SolSuite 2004 - Solitaire Card Games Suite crack.exe
Soldier of Fortune II- Double Helix no cd crack.exe
SolSuite 2004 - Solitaire Card Games Suite Crack.exe
Snood.exe
Snowblind Eidos Interactive crack.exe
Snood crack.exe
Snood Crack.exe
Singles - Flirt Up Your Life Eidos Interactive crack.exe
Sim Theme Park World no cd crack.exe
Sim City 4 Deluxe no cd crack.exe
Sim City 4 - Rush Hour no cd crack.exe
Silent Storm - Sentinels _No Company crack.exe
ShellShock - Nam 67 Eidos Interactive crack.exe
Shockwave Player.exe
Shadow Ops - Red Mercury Atari crack.exe
RYL crack.exe
Second Life Linden Lab crack.exe
RollerCoaster Tycoon NO CD Crack (Including Attractions Pack).exe
RoboForm.exe
Roller Coaster Tycoon no cd crack.exe
RoboForm crack.exe
Resident Evil 4 GC Adventure Capcom crack.exe
Rise of Nations - Thrones & Patriots Microsoft crack.exe
Registry Mechanic.exe
Registry Mechanic Crack.exe
Red Dead Revolver Rockstar Games crack.exe
RealPlayer.exe
RealPlayer Crack.exe
QuickTime.exe
RealPlayer crack (keygen).exe
Quake 3 - The Arena NO CD Crack.exe
Purge Jihad Freeform Interactive LLC crack.exe
Psi-Ops - The Mindgate Conspiracy Midway crack.exe
Onimusha 3 - Demon Siege Adventure Capcom crack.exe
Norton AntiVirus 2004 crack.exe
Ninja Gaiden Tecmo crack.exe
NetPumper Crack.exe
NetPumper.exe
Nero 6 Ultra Edition.exe
Nero Burning ROM v6.x crack.exe
Nero 6 Ultra Edition KeyGen.exe
Nero 6 Ultra Edition Crack.exe
NeedforspeedUnderground-nocd.exe
Need for Speed Underground NO CD crack.exe
Need for Speed4 - NOCD.exe
Need for Speed Underground Crack.exe
Need for Speed Underground 2 NO CD crack.exe
Need for Speed Underground 2 crack.exe
Need for Speed Underground 2 Electronic Arts crack.exe
Need for speed underground - nocd.exe
Need for Speed Hot Pursuit 2 CD KeyGenerator.exe
Need For Speed 5 - no cd.exe
NCAA Football 2005 EA crack.exe
NBA Live 2004 crack.exe
NBA Live 2003 crack.exe
MyIE2.exe
MSN Toolbar.exe
MVP Baseball 2004 EA crack.exe
MSN Messenger (Windows XP).exe
MSN Toolbar advert remover.exe
MSN advert remover.exe
MS Office XP Activation Crack.exe
MS Zoo Tycoon no cd crack.exe
Mozilla Firefox.exe
mIRC 6.X crack.exe
Morpheus.exe
mirc 6.1x reg entries.exe
Midnight Club 3 - DUB Edition Rockstar Games crack.exe
Microsoft Windows Media Player.exe
Microsoft Office XP Universal Activator v1.0.exe
Microsoft Office XP Professional Serial.exe
Microsoft Office XP Professional Crack.exe
Microsoft Office XP Activation Killer.exe
Microsoft Office XP Activation Crack.exe
Microsoft Office 2000 Regmaker.exe
Microsoft Flight Simulator 2004 - A Century Of Flight no cd crack.exe
Metal Gear Solid 3 - Snake Eater Konami crack.exe
Metal Gear Acid PSP Konami crack.exe
Mega Man Anniversary Collection GC Capcom crack.exe
Medieval - Total War no cd crack.exe
Medal of Honor- Allied Assault no cd crack.exe
Medal of Honor Pacific Assault EA Games crack.exe
Medal Of Honor - Allied Assault no cd crack.exe
Medal Of Honor - Allied Assault BreakThrough no cd crack.exe
McFarlanes Evil Prophecy Konami crack.exe
Max Payne 2 The Fall of Max Payne NO CD crack.exe
MaxPayne 2 The Fall Of Max Payne Crack.exe
Max Payne 2 NO CD Crack.exe
Matrix Screensaver.exe
Max Payne 2 Fall Of Max Payne no cd crack.exe
Mario Tennis GC Nintendo crack.exe
Mario Pinball Land GBA Puzzle Nintendo crack.exe
Malice Mud Duck Productions crack.exe
Mafia no cd crack.exe
Madden NFL 2005 EA crack.exe
Madden NFL 2003 no cd crack.exe
Macromedia FreeHand v10 Loader.exe
Macromedia Flash MX v6.0 crack.exe
Macromedia Flash SWF-Unprotect v2.0.exe
Macromedia Flash All Versions keygen.exe
Macromedia Flash 5 Crack.exe
Macromedia Fireworks 4.0 Patch.exe
Macromedia Dreamweaver UltraDev 4.0 Patch.exe
Macromedia Dreamweaver MX v6.0 crack.exe
Macromedia Dreamweaver 4.0 Patch.exe
Macromedia Director 8 Crack.exe
Macromedia Contribute v2.0 crack.exe
Macromedia ColdFusion MX crack.exe
LOTR NO CD Crack.exe
LimeWire server scanner.exe
LimeWire.exe
LimeWire (International).exe
Kingdom Hearts II Square Enix crack.exe
Knights Apprentice Memoricks Adventures Games crack.exe
Kazaa Download Accelerator Pro.exe
Juiced Acclaim crack.exe
JetAudio Basic.exe
Joint Operations - Typhoon Rising NovaLogic crack.exe
ICQ Pro 2003b.exe
iMesh.exe
Jedi Academy NO CD Crack.exe
ICQ 4.exe
Icewind Dale 2 no cd crack.exe
HijackThis.exe
Hidden and Dangerous 2 NO CD Crack.exe
Harry Potter and the Sorcerers Stone no cd crack.exe
Heroes of Might and Magic IV no cd crack.exe
Harry Potter and The Sorcerers Stone no cd crack.exe
Harry Potter and the Prisoner of Azkaban Adventure EA Games crack.exe
Halo 2 crack.exe
Halo - Combat Evolved - Microsoft no cd crack.exe
Half-Life 2 NO CD Crack.exe
Half-Life 2 VU Games crack.exe
Half-Life 2 Keygen.exe
Gunbound Trainer.exe
Grokster.exe
GTA crack.exe
Grand Theft Auto Vice City NO CD crack.exe
Grand Theft Auto San Andreas NO CD crack.exe
Grand Theft Auto III no cd crack.exe
Grand Theft Auto - San Andreas Rockstar Games crack.exe
Grand Theft Auto 3 no cd crack.exe
Gran Turismo 4 SCEA crack.exe
Goblin Commander - Unleash the Horde Jaleco Entertainment crack.exe
Geist GC Nintendo crack.exe
Full Spectrum Warrior THQ crack.exe
Front Mission 4 Square Enix crack.exe
FrontPage XP 2002 Crack.exe
Freedom Force no cd crack.exe
Forgotten Realms - Demon Stone crack.exe
FlashGet.exe
Forgotten Realms - Demon Stone Atari crack.exe
FlashFXP v2.2 crack.exe
FlashFXP v2.1 crack.exe
FlashFXP v2.0 Crack.exe
FlashFXP v1.4.3 Crack.exe
FlashFXP v1.4.1 Crack.exe
FlashFXP 2 RC2 Crack.exe
FlashFXP All Version KeyGen.exe
Fire Emblem - Seima no Kouseki GBA Nintendo crack.exe
Final Fantasy XII Square Enix crack.exe
Final Fantasy XI - Square Enix USA no cd crack.exe
Final Fantasy VII - Advent Children PSP Square Enix crack.exe
Far Cry Ubisoft crack.exe
Fable Microsoft crack.exe
F.E.A.R. VU Games crack.exe
ESPN NFL 2K5 Sega crack.exe
Enter the Matrix Atari crack.exe
eMule.exe
Dungeon Siege no cd crack.exe
Dungeon Lords DreamCatcher Interactive crack.exe
DRIV3R Atari crack.exe
Dragon Warrior VIII Square Enix crack.exe
Dragon Ball Z - Supersonic Warriors GBA Atari crack.exe
Dragon Ball Z - Budokai 3 Atari crack.exe
Dr Divx Crack.exe
Download Accelerator Plus.exe
Dope Wars Crack.exe
Doom 3 NO CD Crack.exe
Doom 3 Activision crack.exe
DivX Player Crack.exe
DivX Player (with DivX Codec).exe
Diablo 2 no cd crack.exe
Diablo 2 NO CD crack.exe
Deus Ex Invisible War NO CD Crack.exe
dBpowerAmp Music Converter.exe
Dark Matter - The Baryon Proj crack.exe
Dark Age Of Camelot - Trials Of Atlantis no cd crack.exe
Cubase Audio XT 3.X crack.exe
Crusader Kings Paradox Entertainment crack.exe
Counter-Strike Condition Zero Keygen.exe
Command & Conquer - Generals Zero Hour no cd crack.exe
Command & Conquer - Generals Zero Hour EA Games crack.exe
Command & Conquer - Generals no cd crack.exe
CloneDVD v1.x crack.exe
CloneCD All Version KeyGen.exe
CloneCD 3.x Crack.exe
CloneCD 2.x Crack.exe
Classic NES Series - The Legend of Zelda GBA Nintendo crack.exe
Civilization III crack.exe
City of Heroes NCsoft crack.exe
CCALG - Credit Card Generator.exe
Call Of Duty no cd crack.exe
Call of Duty Activision crack.exe
Blitzkrieg - Burning Horizon CDV Software GmbH crack.exe
Blinx 2 - Masters of Time & Space Microsoft crack.exe
BitComet.exe
Besieger DreamCatcher Interactive crack.exe
Battlefield Vietnam Multiplayer Online Crack.exe
Battlefield Vietnam EA Games crack.exe
Battlefield 1942 no cd crack.exe
Backyard Wrestling 2 - There Goes the Neighborhood Eidos Interactive crack.exe
Backyard Baseball 2003 no cd crack.exe
Avant Browser.exe
Ares Lite.exe
Ares Galaxy.exe
AOL Instant Messenger (AIM).exe
Anti-Trojan 4.0.exe
All-in-One Secretmaker.exe
All Macromedia Products Keygen.exe
Alias Acclaim crack.exe
Age Of Mythology no cd crack.exe
Age Of Mythology - The Titans no cd crack.exe
Age of Empires II The Age of Kings NO CD crack.exe
Adobe Serial Generator v2.0.exe
Adobe Photoshop all.exe
Adobe Photoshop 7 keygen.exe
Adobe PageMaker v7.0 Keygen.exe
Adobe ImageReady v1.0 crack.exe
Adobe Illustrator v10.0 Time Limit Crack.exe
Adobe Golive v6.0 Keygen.exe
Adobe Acrobat Reader.exe
Adobe Acrobat Reader crack.exe
Ad-aware.exe
Ad-aware Professional.exe
Ad-aware Pro Crack.exe
VirtualLab Data Recovery.exe
Virtuosa Phoenix Edition Crack.exe
Warcraft III - Reign Of Chaos no cd crack.exe
Warez P2P.exe
Webroot Spy Sweeper Crack.exe
Webroot Spy Sweeper.exe
Winace 2.x Crack.exe
Winamp Full.exe
windows server 2003 crack.exe
Windows XP Activation Crack.exe
Windows XP home edition Activation.exe
Windows XP Professional crack.exe
Windows XP SP2 KeyGen.exe
WinMX.exe
WinRAR 3.x Crack.exe
WinRAR All KeyGen.exe
WinRAR crack (keygen).exe
WinRAR.exe
WinZip 9.x Crack.exe
WinZip All KeyGen.exe
WinZip All Versions keygen.exe
Winzip keygen.exe
WinZip Self-Extractor v2.2 keygen.exe
WinZip Self-Extractor v2.2 Patch.exe
WinZip v8.0 Keygen.exe
WinZIP v9.0 Keygen.exe
WinZip v9.0 Registration.exe
WinZip.exe
World of Warcraft Blizzard Entertainment crack.exe
Worms Armageddon NO CD crack.exe
WWE Day of Reckoning GC THQ crack.exe
WWE SmackDown! vs. Raw THQ crack.exe
XBOX X-Fer Ripper and Transfer.exe
Yahoo Messenger.exe
Yoshinoya Success crack.exe
ZeroSpyware Lite.exe
ZoneAlarm crack (keygen).exe
ZoneAlarm.exe
Zoo Tycoon - Complete Collection no cd crack.exe
Zoo Tycoon no cd crack.exe
Zoo Tycoon- Dinosaur Digs no cd crack.exe
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4221
