NullposNombre completo: Trojan.W32/Nullpos
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Tamaño (bytes): 315392
Alias:Trojan.Nullpos
Troyano que modifica los parámetros del salvapantallas para que este muestre un mensaje en japonés.
Mueve todos los accesos directos del escritorio a la carpeta 'Mis Documentos'.
Para propagarse utiliza la red de intercambio de ficheros de la aplicación Winny.
Cuando Trojan.W32/Nullpos es ejecutado, realiza las siguientes acciones:
1. Muestra una ventana con un mensaje con el título y el contenido escritos en japonés.
2. Copia el fichero %System%TASKMGR.EXE al directorio %Windows%.
3. Modifica el fichero %System%\TASKMGR.EXE.
Nota: %System% es variable. El troyano localiza el directorio System y se replica en esa ubicación. Por defecto es C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
4. Mueve todos los 'accesos directos' incluidos en el escritorio, al directorio Mis Documentos\- cadena de caracteres japoneses -.
5. Se copia a sí mismo como %Windows%\bugfix\- nombre_de_usuario -.wab.
6. Se copia a sí mismo como %Windows%\bugfix\- cadena de caracteres japoneses -.zip.
7. Se copia a sí mismo como %Windows%ss.reg.
8. Añade los valores indicados a la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Control Panel\Desktop
Valores: "ScreenSaveActive"="1"
"ScreenSaveTimeOut=60"
"SCRNSAVE.EXE"="%system%\ssmarque.scr"
9. Para cambiar el salvapantallas, establece los valores indicados en la siguiente clave del registro de Windows:
Clave: HKEY_CURRENT_USER\Control Panel\Screen Saver.Marquee
Valores: BackgroundColor=0 0
Speed=3
Text=- cadena de caracteres japoneses -
TextColor=255 0 0
Size=48
Con esto, el salvapantallas pasa a ser un texto en japonés con caracteres en rojo sobre fondo negro.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4170Small.KANombre completo: Downloader.W32/Small.KA
Tipo: [Downloader] - Troyano que descarga ficheros (a través de Internet u otras redes) en el sistema atacado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/TrojanDownloader.Small.KA, Win32.Chopenoz.A
Troyano con la capacidad de descargar y ejecutar ficheros desde un sitio de internet.
También puede realizar acciones como la de modificar el registro, desinstalarse a sí mismo o acceder a un sitio web predeterminado.
Cuando Downloader.W32/Small.KA se ejecuta, realiza las siguientes acciones:
1. Crea una copia de si mismo dentro de la carpeta C:\WINDOWS\SYSTEM.
2. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a las siguientes claves del registro de Windows:
Claves: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valor: xpsystem = - nombre_del_archivo -
3. Establece el siguiente valor en la clave indicada del registro de Windows:
Clave: HKCU\Software\Microsoft\Internet Explorer\Main
Valor: Enable Browser Extensions = yes
4. Crea la siguiente subclave (en cursiva) con el valor indicado dentro de la clave especificada del registro de Windows:
Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
(5321E378-FFAD-4999-8C62-03CA8155F0B3)
Valor: Predeterminado = ""
5. El troyano tiene capacidad para ejecutar distintos comandos que le permiten las siguientes acciones:
* Acceder y mostrar un sitio web predeterminado.
* Desinstalar el troyano.
* Descargar y ejecutar un archivo de un sitio web.
* Modificar el registro.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4171