Win32/PSW.QQPass.AK Troyano que roba contraseñas y captura la salida del teclado en un equipo infectado. aliases: Trojan-PSW.Win32.QQPass.cf, PWSteal.Lemir.Gen, TROJ_QQPASS.AO, Trojan Horse.AP, Win32/PSW.QQPass.AK, Troj/LegMir-AC
Troyano
CARACTERISTICAS Cuando el troyano se ejecuta crea copias de si mismo dentro de las siguientes carpetas:
C:\Windows\intrenat.exe
C:\Windows\System\WinSocks.dll
De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Para ejecutarse en cada reinicio del sistema crea las siguientes entradas en el registro de Windows:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
Intrenat = intrenat.exe
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
Intrenat = intrenat.exe
El troyano captura la salida del teclado, los datos obtenidos son enviados a una dirección de correo electrónico predefinido.
Intenta terminar los siguientes procesos relacionados con aplicaciones de seguridad:
ccenter.exe
eghost.exe
kavpfw.exe
ravtimer.exe
ravmon.exe
system.exe
INSTRUCCIONES PARA ELIMINARLO 1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y elimine los archivos infectados.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", la entrada "Intrenat", en la siguiente clave del registro:
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
HKLM\Software\Microsoft\Windows
\CurrentVersion\RunServices
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.
Más información:
http://www.enciclopediavirus.com/virus/vervirus.php?id=1868
