W32/Lovgate.AM. Se propaga por redes, e-mail, KaZaaNombre: W32/Lovgate.AM
Tipo: Gusano de Internet
Alias: Lovgate.AM, W32.Lovgate.AK@mm, W32/Lovgate.q@MM, I-Worm.LovGate.gen, W32/Lovgate.af2@MM
Plataforma: Windows 32-bit
Tamaño: 113,664 bytes
Puerto: TCP 6000
Gusano que se propaga masivamente por correo electrónico, y recursos compartidos en redes.
La máquina infectada puede ser accedida por un atacante a través de una puerta trasera instalada por el gusano.
Es capaz de renombrar archivos .EXE como .ZMX
Los mensajes infectados pueden tener adjuntos con extensiones .BAT, .CMD, .EXE, .PIF, .SCR o .ZIP. El mensaje también puede ser la respuesta a un mensaje enviado anteriormente a un usuario que ahora ha sido infectado (no abra adjuntos de usuarios conocidos sin haber confirmado con el remitente su envío, podría ser una respuesta automática del gusano a uno de sus mensajes, en un mensaje infectado).
Utiliza su propio motor SMTP para enviarse a todos los contactos de la libreta de direcciones de Windows y del Outlook, y a todas las direcciones que extrae de archivos de las máquinas infectadas.
Más información:
http://www.vsantivirus.com/lovgate-am.htmTroj/Madtol.A. Permite acceso total al sistemaNombre: Troj/Madtol.A
Tipo: Caballo de Troya de acceso remoto
Alias: Madtol, ~Trojan:Win32/Delf.M, AFXrootkit, AFXrootkit.dll, AFXrootkit.gen, Backdoor.IRC.Ratsou.B, Backdoor.Trojan, Bck/Ratsou.A, Collected.L, destructive program, Hacktool.Rootkit, Hacktool/Rootkit.A, Madtol.A, Sandbox: W32/Malware, security risk named W32/AFXrootkit.A, security risk named W32/Madtol.A, security risk or a "backdoor" program, TR/MadTol.A, TR/Madtol.A.1, TR/Madtol.A.2, Troj/AFXroot-B, Troj/AFXroot-C, Troj/Delf-M, Troj/Madtol-A, TROJ_MADTOL.A, Trojan Horse, Trojan.Delf.M, Trojan.Madtol, Trojan.Madtol.A, Trojan.Unremote, Trojan.Win32.Madtol.a, Trojan.Win32.Madtol.A, Trojan.Win32.Madtol.d, Trojan:Win32/Delf.M, Win32.Afrootix, Win32.Afrootix dropper., W32/Madtol.A, Win32/Madtol.A, Win32:Trojan-gen. {Other}, Win32:Trojan-gen. {UPX!}
Plataforma: Windows 32-bit
Se trata de un troyano del tipo "rootkit" que utiliza técnicas de ocultamiento (stealth).
Por naturaleza, un rootkit es una herramienta que permite acceder a un sistema como un usuario con todos los permisos (root), pero en estos casos es usada para ocultar las actividades de un atacante dentro del sistema, después que éste ha logrado ingresar a él. Deja puertas de entradas ocultas, que permiten a un intruso obtener el control total de los equipos infectados.
Una vez que el troyano se instala, el mismo puede ocultar la ejecución de cualquiera de los siguientes procesos:
- Grabar, copiar, leer, modificar o crear archivos
- Grabar, copiar, leer, modificar claves del registro
- Abrir, cerrar y utilizar cualquier puerto del sistema
El troyano suele instalar tres archivos en los equipos infectados, cuyos nombres son seleccionados al azar.
Las carpetas usadas para copiarse también puede variar, aunque generalmente corresponden a las carpeta de Windows, Windows\System o Windows\System32, cuya ubicación puede cambiar según el sistema operativo instalado.
Ejemplos:
c:\windows\system32\conf.com
c:\windows\system32\confmser.dll
c:\windows\system32\confmsur.dll
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El componente principal suele ejecutarse cada vez que se reinicia el sistema, creando una clave en el registro, como la siguiente (es solo un ejemplo):
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Conf.com = c:\windows\system32\conf.com
Una vez que el sistema está infectado, no suelen verse síntomas notorios de su funcionamiento, debido a la naturaleza misma de la herramienta.
El troyano utiliza diversas técnicas, utilidades y librerías de terceros, para engancharse al sistema infectado, utilizando las APIs (Application Program Interface), un conjunto de rutinas empleadas para solicitar y efectuar servicios del sistema operativo. También las utiliza para ocultar toda su actividad.
Más información:
http://www.vsantivirus.com/troj-madtol-a.htmTroj/Spy.Qukart.C. Roba información confidencialNombre: Troj/Spy.Qukart.C
Tipo: Caballo de Troya
Alias: Backdoor.Berbew.I, Win32/Spy.Qukart.C, TrojanSpy.Win32.Qukart.c, BackDoor-AXJ.gen, Backdoor.Berbew.G, Win32.Webber, Win32/Spy.Qukart.C
Plataforma: Windows 32-bit
Tamaño: 46,080 bytes; 6,657 bytes
Troyano que roba información confidencial de la computadora infectada, así como datos de cuentas bancarias, capturando todo lo tecleado por el usuario al acceder a bancos on-line y sitios similares.
La información obtenida puede ser enviada a un script de CGI a determinados sitios de Internet.
El troyano busca toda la información almacenada en el caché de contraseñas de Windows, lo que incluye contraseñas de accesos telefónicos, etc.
Para registrar la información obtenida, utiliza varios archivos con nombres al azar en la carpeta System o System32, según el sistema operativo.
Luego, examina todas las ventanas abiertas e intercepta cualquier clase de datos ingresados a ellas, así como el contenido del portapapeles (lo que se guarda al seleccionar Cortar o Copiar).
El componente principal, se copia a si mismo también en el directorio System o System 32 de Windows, y luego crea un .DLL relacionado. Todos los archivos copiados utilizan nombres creados al azar, de 8 caracteres. Ejemplos:
c:\windows\system\[8 caracteres al azar].exe
c:\windows\system\[8 caracteres al azar].dll
La información obtenida, la almacena en los siguientes archivos:
c:\windows\system\dnkkq.dll
c:\windows\system\kkq32.vxd
c:\windows\system\kkq32.dll
c:\windows\system\Rtdx1?.dat
Donde "?" es un número al azar.
También crea numerosos archivos HTML en la carpeta de temporales de Windows:
\TEMP\[8 caracteres al azar].htm
\TEMP\[8 caracteres al azar].htm
\TEMP\[8 caracteres al azar].htm
[...]
Algunos de estos archivos contienen enlaces al sitio "tat-neftbank.ru".
NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
El troyano no crea ni modifica ninguna entrada conocida en el registro o archivos de inicio de Windows para autoejecutarse.
En lugar de ello, emplea un mecanismo diferente, modificando la siguiente clave del registro:
HKCR\CLSID\{79FEACFF-FFCE-815E-A900-316290B5B738}
InProcServer32 = [nombre del componente DLL]ThreadingModel = Apartment
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Web Event Logger = {79FEACFF-FFCE-815E-A900-316290B5B738}
Básicamente, la librería .DLL del troyano se identifica como clase con un valor específico, de 128 bits, el denominado Class ID (la clave CLSID en el registro de Windows).
Luego, se apunta la subclave "InprocServer32" a dicha librería para ponerla en funcionamiento cuando se ejecuta un evento determinado. El valor "ThreadingModel" con el dato "Apartment", indica que el objeto solo puede ejecutar un solo hilo.
Finalmente se suplanta el valor correspondiente al "Monitor de sitios Web" del Internet Explorer (que entre otras cosas carga la página de Inicio del Explorer), por una llamada a la Class ID creada por el troyano.
Como resultado, de acuerdo a ciertos eventos, el troyano será activado.
También crea o modifica las siguientes entradas del registro:
HKEY_CURRENT_USER\Software\Microsoft\QueenKarton = D
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1601 = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1\1601 = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2\1601 = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1601 = 0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\4\1601 = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\GlobalUserOffline = 0
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowseNewProcess\BrowseNewProcess = yes
El componente principal es un proxy que queda "escuchando" diferentes conexiones, e informando la dirección IP de la máquina infectada. Además envía la información capturada antes por el robador de contraseñas, a una dirección específica de Internet, determinada en ciertas páginas de un sitio predefinido.
También puede descargar y ejecutar otros archivos.
Cuando se ejecuta, crea también el siguiente mutex para no cargarse más de una vez en memoria:
QueenKarton_13
Más información:
http://www.vsantivirus.com/troj-spy-qukart-c.htmW32/Tompai.A. Infecta archivos .EXE y abre backdoorNombre: W32/Tompai.A
Tipo: Virus infector de ejecutables y caballo de Troya
Alias: Tompai, W32/Tompai-A, Win32/Tompai.A
Plataforma: Windows 32-bit
Este virus que infecta ejecutables .EXE, posee además un componente troyano de acceso remoto por puerta trasera.
Cuando se ejecuta, el virus crea los siguientes archivos en la máquina infectada:
c:\windows\system\mainsv.exe
c:\windows\system\[nombre al azar]
c:\windows\system\[nombre al azar]
Los archivos con nombres al azar, los generan a partir de los siguientes:
cmpku.exe - cmpkunt.exe
loadms.exe - loadmsnt.exe
netcompt.exe - netcomptnt.exe
ntdllf.exe - ntdllfnt.exe
ptsnopt.exe - ptsnoptnt.exe
Puede infectar archivos .EXE en el disco local y crear copias de si mismo con los siguientes nombres:
Crack_tools.exe
Dx_ball2_Setup.pif
mario_2.pif
matrix_desktop.pif
matrix3Dsetup.pif
mp3_convert.pif
the_matrix.scr
VRMLpad_crack.pif
Zsnes_win.pif
Para autoejecutarse en cada reinicio de Windows, crea la siguiente entrada en el registro:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cmpnt = [nombre del gusano]
El componente backdoor permite a un atacante externo, acceder a la computadora infectada, donde podrá efectuar determinadas acciones sin el conocimiento del usuario.
Aunque no tiene capacidad de propagarse a través de Internet por si mismo, tenga en cuenta que cualquier archivo previamente infectado, podría ser enviado en forma premeditada o por accidente, en un correo electrónico, o descargado desde un sitio web.
Más información:
http://www.vsantivirus.com/tompai-a.htmW32/Mabutu.B. Se propaga por e-mail y KaZaa, usa IRCNombre: W32/Mabutu.B
Tipo: Gusano de Internet
Alias: Mabutu.B, W32/Mabutu.b@MM, I-Worm.Mabutu.b, W32/Mabutu.gen@MM, WORM_MABUTU.B, I-Worm.Mabutu.B, Win32/Mabutu.B
Plataforma: Windows 32-bit
Tamaño: 33,280 bytes (EXE); 49,152 bytes (DLL)
Esta variante es similar a la "A", pero tiene nuevas funcionalidades incluidas en su componente DLL. Además, agrega el prefijo "THE_" a algunos de los textos utilizados en los nombres de los archivos adjuntos a los mensajes.
También modifica la lista de servidores IRC a los que intenta conectarse.
Mabutu es un gusano que se propaga en forma masiva vía correo electrónico y la red P2P de KaZaa.
Posee su propio motor SMTP para enviarse, y emplea direcciones falsas como remitentes.
Las direcciones a las que se envía, son obtenidas de la máquina infectada.
Está formado por un componente .EXE que libera un .DLL al ejecutarse.
El gusano obtiene direcciones electrónicas de archivos con las siguientes extensiones:
.htm
.html
.txt
.wab
Los mensajes enviados tienen las siguientes características:
Asunto: [uno de los siguientes]
britney
Hello
Hi
I'm in love
I'm nude
Important
jenifer
Sex
Wet girls
Datos adjuntos: [algunos ejemplos]
[letras y números al azar]
britney
creme_de_gruyere
details
document
fetishes
gutted
jenifer
message
Ok cunt
photo
the_details
the_document
the_message
Los archivos usan alguna de estas extensiones:
.exe
.scr
.zip
Ejemplos:
K7653425.scr
britney.zip
creme_de_gruyere.scr
document.scr
fetishes.zip
the_details.scr
Cuando es un .ZIP, su contenido es un archivo con doble extensión y nombre al azar:
[nombre].jpg [múltiples espacios] .scr
[nombre].txt [múltiples espacios] .scr
Cuando se ejecuta, el gusano crea los siguientes archivos en la carpeta de Windows:
c:\windows\??twain.dat
c:\windows\?twain.dll
c:\windows\?twain.exe
c:\windows\cfg.dat
Donde "?" representa una o dos letras al azar.
Crea una copia de si mismo con el nombre SCRNSAVE.EXE en la carpeta compartida por defecto por la utilidad KaZaa (red P2P de intercambio de archivos entre usuarios). La ubicación de dicha carpeta la obtiene de la siguiente clave del registro:
HKU\.DEFAULT\Software\Kazaa\LocalContent\DownloadDir
Crea las siguientes entradas en el registro para autoejecutarse en cada reinicio:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
winupd = RUNDLL32.EXE c:\windows\?twain.dll, _mainRD
El gusano intenta conectarse a un servidor IRC por el puerto TCP/6667, utilizando alguno de los siguientes servidores: (ver lista completa en el link)
El gusano también posee la habilidad de autoactualizar su componente DLL, descargándolo de de un sitio Web predeterminado.
Más información:
http://www.vsantivirus.com/mabutu-b.htmTroj/Mitglieder.AS. Envía spam desde el PC infectadoNombre: Troj/Mitglieder.AS
Tipo: Caballo de Troya
Alias: Mitglieder.AS, Win32/TrojanProxy.Mitglieder.AS, Win32.Mitglieder.BA, W32/Bagle.dll.gen, Win32/Mitglieder.BA.DLL.Trojan, TrojanProxy.Win32.Mitglieder.as
Plataforma: Windows 32-bit
Tamaño: 167,936 bytes (UPX)
Puertos: TCP al azar (superior al 2000)
Este troyano ha sido reportado por usuarios infectados con el gusano Bagle. Dicho gusano puede descargar y ejecutar a este troyano luego de una infección.
Cuando se ejecuta, crea los siguientes archivos en el sistema infectado:
c:\windows\system\realupd.exe
c:\windows\system\realupd32.exe
c:\windows\system\real32.exe
Genera las siguientes entradas en el registro, la primera de ellas para que cada vez que se ejecute un programa con extensión .EXE, el troyano se instale en memoria:
HKCR\exefile\shell\open\command
(Predeterminado) = c:\windows\system\realupd.exe -run %s
HKCU\SOFTWARE\DateTime\Uid = [número de proceso]
Port = [puerto usado]frun = [1 o 0]
Cuando se ejecuta REAL32.EXE, su código se inyecta en el proceso del EXPLORER (EXPLORER.EXE), quedando oculto en la lista de procesos en ejecución. El hilo del proceso creado, llama al resto de sus funciones, implementadas en el archivo REALUPD32.EXE, un DLL renombrado.
El DLL también es cargado con el parámetro "-run".
Este hilo del proceso puede continuar ejecutándose hasta el próximo reinicio de Windows. Para no cargarse más de una vez en memoria, crea el siguiente mutex (semáforo indicador):
imain_mutex
Abre un puerto TCP al azar (mayor del 2000), en las máquinas infectadas. El puerto es usado como servidor proxy (Socks 4), para retransmitir el tráfico recibido desde Internet.
Se conecta a diferentes sitios de Alemania y Rusia, e intenta funcionar como repetidor de correo electrónico para el envío de spam.
El puerto abierto funciona también como una puerta trasera (backdoor), permitiendo al atacante, acceder a la máquina infectada. Por allí, el troyano puede recibir comandos para realizar diferentes acciones, como cargar y ejecutar otro archivo en el equipo. De este modo también puede actualizarse a si mismo, agregando nuevas funciones.
Cada vez que se ejecuta, el troyano se contacta con los siguientes sitios enviando información a un script CGI sobre el equipo infectado (tipo de conexión, sistema operativo, puerto, hora local, etc.):
http:/ /69 .28 .141 .195
http:/ /www .ftopserkj .com
http:/ /www .gtreport .biz
Más información:
http://www.vsantivirus.com/troj-mitglieder-as.htmLemir.NS Troyano con capacidad para robar las contraseñas del juego en linea 'Legend of MIR 2' y enviar la información capturada a un usuario malicioso a través de correo electrónico.
También intenta finalizar la ejecución de ciertos procesos.
Esta escrito con Borland Delphi y comprimido con UPX.
Nombre completo: Trojan.W32/Lemir.NS
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño comprimido (bytes): 57856
Alias:TROJ_LEMIR.NS (Trend Micro)
Cuando Trojan.W32/PWSteal.Lemir.NS es ejecutado, realiza las siguientes acciones:
Crea una copia de sí mismo en el directorio de Windows con el nombre WS32.EXE.
Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade los valores indicados a las siguientes claves del registro de Windows:
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Valor: ws_d = "%Windows%\ws32.exe
Nota: %Windows% es el directorio por defecto de Windows, suele ser C:\Windows o C:\WINNT.
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Valor: ws_d = "C:\WINNT\ws32.exe"
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
Valor: ws_d = "C:\WINNT\ws32.exe"
Con el mismo objetivo, pero sólo para sistemas con Windows 2000/NT/XP:
Clave: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Valor: Shell = "Explorer.exe C:\WINNT\ws32.exe"
Con igual fin, pero sólo para sistemas con Windows 95/98/Me:
Clave: HKEY_LOCAL_MACHINE\Software\Classes\mir2
Valores: sysint = "5"
WinX ="1"
Finalización de procesos
Trojan.W32/PWSteal.Lemir.NS intenta detener la ejecución de los siguientes procesos en el equiopo infectado:
EGHOST.EXE
MAILMON.EXE
NETBARGP.EXE
PASSWORDGUARD.EXE
ZAFRAMEWND
ZONEALARM
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4129Moridin Virus de macro que afecta a documentos de Microsoft Word.
Deshabilita la protección contra virus de macro, intenta crear un mensaje de salida para el cliente de correo Pegasus Mail.
También intenta ejecutar componentes de extensión .exe.
Nombre completo: Virus.W97M/Moridin
Tipo: [Virus] - Virus Genérico, normalmente se propaga infectando archivos ejecutables.
Plataforma: [W97M] - Virus de Word 97 y posteriores
Tamaño (bytes): 8993
Alias:W97M.Moridin (Symantec), Moridin.b (Kaspersky (viruslist.com)), W97M/Moridin.gen (McAfee)
Cuando Virus.W97M/Moridin es ejecutado, realiza las siguientes acciones:
Infecta la plantilla Normal.dot. De este modo, el virus se ejecutará automáticamente cada vez que un documento de Microsoft Word sea abierto.
Deshabilita la protección contra virus de macro de Microsoft Word.
El virus oculta su código asociandolo con el de las automacros ToolsMacro y ViewVBCode. En caso de que se intente ver las macros, el virus elimina su propio código.
Crea el fichero Impmori.drv en el directorio %System% o %Windir%.
Este fichero contiene una copia del código del virus. Cuando un documento es infectado, de este es del archivo que lo carga.
Crea el borrador de un mensaje en el cliente de correo Pegasus Mail.
Hay un 12.5% de posbilidades de que el mensaje contenga el texto:
Check this out!
El otro 87.5% de posibilidades, es para el texto:
BAAAAAAAM! You just got hit by an attachment, this is the attachment war!
Hit someone, NOW!
Intenta ejecutar los siguientes ficheros, de contenido probablemente malicioso:
%Windir%\W32mori.exe
%Windir%\Advapi33.exe
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4128Berbew.I Troyano que intenta robar contraseñas en caché de Internet Explorer y las que se introduzcan en formularios web en el PC afectado.
Nombre completo: Trojan.W32/Berbew.I
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Backdoor.Berbew.I (Symantec), Win32/Spy.Qukart.C (Enciclopedia Virus (Ontinent)), BackDoor-AXJ.gen (McAfee)
Cuando este troyano es ejecutado, realiza las siguientes acciones:
Crea un mutex llamado "QueenKarton_13" para asegurarse de que no haya más de una instancia en ejecución.
Crea los ficheros
%System%\[8 caractéres aleatorios].exe
%System%\[8 caractéres aleatorios].dll
Donde %System% es una variable que representa la carpeta de sistema de Windows. Por defecto, esta es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
Crea varios fichero con nombre aleatorio y extensión .html en la carpeta temporal (%Temp%)
Abre estos ficheros .html con Internet Explorer. Algunos de estos ficheros pueden acceder a una URL predeterminada del dominio tat-neftbank.ru.
Añade los valores:
(Predeterminado) = "[8 caractéres aleatorios].dll"
ThreadingModel = "Apartment"
a la clave del registro:
HKEY_CLASSES_ROOT\CLSID\
{79FEACFF-FFCE-815E-A900-316290B5B738}\InProcServer32
Añade el valor:
"Web Event Logger" = "{79FEACFF-FFCE-815E-A900-316290B5B738}"
a la clave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\ShellServiceObjectDelayLoad
Modifica el valor
"1601" = "0"
en las claves del registro:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\0
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\1
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\2
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\3
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\
CurrentVersion\Internet Settings\Zones\4
Modifica el valor
"GlobalUserOffline" = "0"
en la clave del registro
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Internet Settings
Añade el valor:
"BrowseNewProcess" = "yes"
a la clave del registro:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\BrowseNewProcess
Recoje contraseñas del ordenador infectado e intercepta datos introducidos en formularios con Internet Explorer
Puede crear los siguientes ficheros en la carpeta %System% para guardar la información capturada y datos de configuración descargados:
dnkkq.dll
kkq32.vxd
kkq32.dll
Rtdx1[número].dat
La información robada es enviada en peticiones HTTP. También puede cargar datos de configuración mediante web a una URL predeterminada del dominio tat-neftbank.ru.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4127
