Back/Naninf.C. Crea un acceso remoto vía IRCNombre: Back/Naninf.C
Nombre NOD32: Win32/Naninf.C
Tipo: Caballo de Troya
Alias: Naninf.C, Backdoor.Win32.SdBot.tu, BackDoor-AZV, Backdoor.Trojan, BackDoor.IRC.Sdbot.283, Troj/Bdoor-AZW, Worm/SdBot.31770, IRC/BackDoor.SdBot.93.BA, Backdoor.SDBot.PE, Trojan.SdBot-265, Win32/Naninf.C
Fecha: 31/dic/04
Plataforma: Windows 32-bit
Caballo de Troya que se conecta a un canal predeterminado de IRC a través de una puerta trasera creada en el equipo infectado. Por medio de esta conexión, un usuario remoto puede tomar el control del equipo.
Al ejecutarse por primera vez, se copia en la carpeta del sistema de Windows con el siguiente nombre:
c:\windows\system\load32.exe
NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003.
El troyano crea también las siguientes entradas en el registro para autoejecutarse en cada reinicio de Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Apvxdwin = load32.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Apvxdwin = load32.exe
Reparación manualNOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Más información
http://www.vsantivirus.com/back-naninf-c.htm