W32/Pinom.J. Se propaga por e-mail y redesNombre: W32/Pinom.J
Tipo: Gusano de Internet
Alias: Pinom.J, Cissi.D, Cissi.C, W32.IRCBot.Gen, W32/Pinom.worm!backdoor, Win32.Cissi.J, Win32.HLLW.Pinom.10, Win32.Worm.Imbiat.1.Gen, Win32/HLLW.Pinom.A, Win32/Pinom.J, Win32:Pinom-I-UPX [Wrm], Worm.Pinom.Gen, Worm.Win32.Pinom.gen, Worm/Biatch, Worm/Pinom.G, W32/Cissi-D
Fecha: 10/ago/04
Plataforma: Windows 32-bit
Gusano programado en Borland Delphi y comprimido con la herramienta UPX, que se propaga a través de equipos que compartan recursos y también vía correo electrónico.
Posee un componente que permite el acceso remoto por puerta trasera al equipo infectado, con el cuál un atacante podría obtener el control total del equipo vía IRC (Internet Relay Chat).
Utiliza el comando NET.EXE de Windows para conectarse al recurso compartido IPC$ de un sistema remoto. Intenta entonces establecer una conexión probando una lista de nombres de usuario y contraseñas comunes.
Si consigue autenticarse, utiliza la herramienta legítima PSEXEC.EXE para copiarse en el equipo remoto con el siguiente nombre y ubicación:
c:\windows\system\cissi.exe
NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
En Windows 95, 98 y Me, modifica el archivo C:\WINDOWS\SYSTEM.INI para autoejecutarse en cada reinicio:
[boot]
shell = Explorer.exe c:\windows\system\cissi.exe
En Windows NT, 2000, XP y 2003, el gusano modifica la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windiows:
HKLM\Software\Microsoft\Windows NT
\CurrentVersion\Winlogon
Shell = "Explorer.exe cissi.exe"
También intenta agregarse en el grupo de inicio, creando una copia de si mismo en alguna de las siguientes ubicaciones (estas entradas están literalmente asignadas en su código, por lo que en versiones de Windows en otros idiomas, como español, no ejecutarán al gusano):
\Documents and Settings\All Users
\Start Menu\Programs\Startup
\WINDOWS\Start Menu\Programs\Startup
\WINNT\Profiles\All Users
\Start Menu\Programs\Startup
Luego, el gusano intentará propagase, generando múltiples hilos de ejecución, creando numerosas acciones simultáneas.
Uno de los hilos intenta unirse a un canal de IRC predeterminado.
Para ello utiliza un nombre de usuario (nickname) al azar, intentando conectarse por el puerto 6667. Una vez conectado, el gusano queda a la espera de comandos como los siguientes, por parte de un atacante remoto:
- Abrir archivos remotamente
- Actualizar el propio gusano
- Borrar archivos seleccionados por el usuario remoto
- Descargar y ejecutar archivos
- Desinstalarse a si mismo
- Escanear puertos
- Lanzar ataques con PING
- Obtener información del sistema operativo, CPU y RAM
- Visitar un sitio específico de Internet
Para propagarse, otro hilo utiliza la utilidad de Windows NET.EXE, para conectarse al recurso remoto compartido, IPC$, utilizando diferentes nombres de usuario y contraseñas.
Si logra conectarse al sistema remoto, el gusano crea una copia de si mismo en cada sistema, en la carpeta de inicio, con alguno de los siguientes nombres:
!important!.exe
setup.exe
Las carpetas de Inicio pueden encontrarse en alguna de las siguientes ubicaciones:
\Documents and Settings\All Users
\Start Menu\Programs\Startup
\WINDOWS\Start Menu\Programs\Startup
\WINNT\Profiles\All Users
\Start Menu\Programs\Startup
Además, intenta agregar una tarea programada para que dicha copia se ejecute en dichas computadoras.
También puede enumerar las unidades de disco mapeadas en el sistema (aquellas que poseen una letra de la C a la Z), y que tengan habilitados los derechos de acceso necesarios para escribir en ellas.
Los mensajes que el gusano envía, tienen las siguientes características:
De: Cissi
Asunto: [uno de los siguientes]
Heres a poem for you
Ive written a poem for you
Look what i wrote for you
Love poems for you
Poems for you
Datos adjuntos: [uno de los siguientes]:
LovePoem.pif
My Poems.txt.exe
My Story.pif
Only Poems.txt.pif
Poem_collection.pif
Poems for you.pif
Poems.pif
Sad Stories and Poems.pif
The Poems.pif
Zipped_poems.exe
Cuerpo del mensaje: [uno de los siguientes]
Ejemplo 1:
Roses are red,
You are mine,
I love you until im dead,
It will all be fine.
Ejemplo 2:
I do miss you
I do love you
what you want me to do?
I never want to go.
Ejemplo 3:
Where did you run?
Where did you hide?
I stand here undone
I stand here inside
Ejemplo 4:
How could u do that
Why did you say that
How do you feel inside
I wish i just could hide
El gusano obtiene las direcciones electrónicas a las que se envía, examinando todos los archivos con las siguientes extensiones:
.abc
.ade
.adp
.asp
.cfg
.doc
.dsp
.dsw
.eml
.fdb
.htm
.html
.htt
.ini
.ldb
.ldif
.mda
.mdb
.mde
.mdw
.nab
.php
.pst
.rtf
.shtml
.sln
.txt
.vap
.wab
.xls
Las direcciones localizadas, las almacena en el siguiente archivo, que en realidad es un archivo de texto, no un DLL:
c:\windows\system\cissi.dll
Obtiene la dirección IP del servidor SMTP de la cuenta de correo del usuario, y lo utiliza para el envío masivo de los mensajes.
Más información:
http://www.vsantivirus.com/pinom-j.htmW32/Doyi.A. Se propaga masivamente por e-mailNombre: W32/Doyi.A
Tipo: Gusano de Internet
Alias: Doyi, Cali, Neveg.B, Win32/Doyi.A, Cali.A, W32/Cali-A, W32/Cali@MM, I-Worm.Neveg.b
Fecha: 10/ago/04
Plataforma: Windows 32-bit
Tamaño: 51,270 bytes
Gusano de envío masivo por correo electrónico, detectado el 10 de agosto de 2004.
Compilado con Microsoft Visual C++, su código está protegido contra posibles desbordamientos de búfer. Su ejecutable, está comprimido con las herramientas Yoda y UPX.
Utiliza mensajes con estas características:
Datos adjuntos: [uno de los siguientes]
details.exe
doom3demo.exe
files.exe
google.exe
info.exe
install.exe
notes.exe
office.exe
request.exe
result.exe
results.exe
resume.exe
se_files.exe
setup.exe
test.exe
Cuando se ejecuta, crea un mutex para no cargarse más de una vez en memoria:
4D36E64A-W325-121E-BFC1-080C2BE11318
Se copia a si mismo en la siguiente ubicación:
c:\windows\system\services.exe
NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.).
En este caso, la carpeta "system" no varía, sin importar el sistema operativo instalado.
Crea una clave en el registro para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[clave] = c:\windows\system\services.exe
Donde [clave] puede ser una de las siguientes:
.Prog
BuildLab
ccApps
FriendlyTypeName
Microsoft Visual SourceSafe
RegDone
TEXTCONV
WMAudio
Busca direcciones para enviar sus mensajes infectados, en todos los archivos de cada máquina infectada, pero ignora aquellos con las siguientes extensiones:
.avi
.bmp
.cab
.com
.chm
.dll
.drv
.exe
.fon
.gif
.hlp
.hlp
.jar
.jpg
.mpg
.msi
.rar
.swf
.sys
.ttf
.vxd
.wma
.zip
También ignora direcciones conteniendo los siguientes textos:
.gov
.mil
@mcaf
freebsd
gnu.
kaspers
microso
norton
openbsd
symant
El gusano puede realizar ataques de denegación de servicio a los siguientes sitios Web:
www .2rebrand .com
www .designgalaxy .net
www .designload
www .designload .com
www .hvr-systems .cc
www .procartoonz .com
www .real-creative .de
Más información:
http://www.vsantivirus.com/doyi-a.htmProtoride.XNombre completo: Worm-Backdoor.W32/Protoride.X@SMB
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [SMB] - Se difunde por carpetas compartidas de red de Microsoft
Alias:Win32/Protoride.X, W32/Protoride-K
Gusano que se propaga a través de recursos compartidos en redes protegidos con contraseñas débiles, intentando acceder a ellos utilizando diferentes nombres de usuario y contraseñas incluidos en su propio código.
Posee también capacidad para actuar como puerta trasera, lo que permite el acceso ilícito al sistema infectado mediante canales IRC.
Cuando Worm-Vackdoor.W32/Protoride.X@SMB es ejecutado, realiza las siguientes acciones:
1. Se copia a sí mismo como C:\Windows\System\ctpty.exe.
2. Para ser ejecutado cada vez que se accede a un archivo de extensión .exe, realiza la siguiente modificación en el registro de Windows:
Clave: HKCR\exefile\shell\open\command
Valor: (Predeterminado) = - ruta y nombre del gusano - "%1" %*
3. Cuando es ejecutado, se copia con el nombre "winupdate32.exe" en alguna de las siguientes carpetas de redes compartidas:
* \Documents and Settings\All Users\Kynnist-valikko\Ohjelmat\Kynnistys\
* \Documents and Settings\All Users\Men Inicio\Programas\Inicio\
* \Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
* \Documents and Settings\All Users\Menu Iniciar\Programas\Iniciar\
* \Documents and Settings\All Users\Menu Start\Programma"s\Opstarten\
* \Documents and Settings\All Users\Menu Start\Programy\Autostart\
* \Documents and Settings\All Users\Menuen Start\Programmer\Start\
* \Documents and Settings\All Users\Start Menu\Programlar\BASLANGI
* \Documents and Settings\All Users\Start Menu\Programs\StartUp\
* \Documents and Settings\All Users\Start-meny\Programmer\Oppstart\
* \Documents and Settings\All Users\Start-menyn\Program\Autostart\
* \Dokumente und Einstellungen\All Users\Startmen
* \Programme\Autostart\
* \WIN95\Kynnist-valikko\Ohjelmat\Kynnistys\Documents and Settings\All Users\Menu Dmarrer
* \Programmes\Dmarrage\
* \WIN95\Menú Inicio\Programas\Inicio\
* \WIN95\Menu Avvio\Programmi\Esecuzione automatica\
* \WIN95\Menu Dmarrer\Programmes\Dmarrage\
* \WIN95\Menu Iniciar\Programas\Iniciar\
* \WIN95\Menu Start\Programma"s\Opstarten\
* \WIN95\Menu Start\Programy\Autostart\
* \WIN95\Menuen Start\Programmer\Start\
* \WIN95\MenuIniciar\Programas\Iniciar\
* \WIN95\Start Menu\Programlar\BASLANGI
* \WIN95\Start Menu\Programs\StartUp\
* \WIN95\Startmen
* \WIN95\Start-meny\Programmer\Oppstart\
* \WIN95\Start-menyn\Program\Autostart\
* \WIN98\Kynnist-valikko\Ohjelmat\Kynnistys\
* \WIN98\Menú Inicio\Programas\Inicio\
* \WIN98\Menu Avvio\Programmi\Esecuzione automatica\
* \WIN98\Menu Dmarrer\Programmes\Dmarrage\
* \WIN98\Menu Iniciar\Programas\Iniciar\
* \WIN98\Menu Start\Programma"s\Opstarten\
* \WIN98\Menu Start\Programy\Autostart\
* \WIN98\Menuen Start\Programmer\Start\
* \WIN98\MenuIniciar\Programas\Iniciar\
* \WIN98\Start Menu\Programlar\BASLANGI
* \WIN98\Start Menu\Programs\StartUp\
* \WIN98\Startmen
* \WIN98\Start-meny\Programmer\Oppstart\
* \WIN98\Start-menyn\Program\Autostart\
* \WINDOWS.000\Menú Inicio\Programas\Inicio\
* \WINDOWS.000\Menu Iniciar\Programas\Iniciar\
* \WINDOWS.000\Start Menu\Programs\StartUp\
* \WINDOWS.000\Startmen
* \WINDOWS\Kynnist-valikko\Ohjelmat\Kynnistys\
* \WINDOWS\Menú Inicio\Programas\Inicio\
* \WINDOWS\Menu Avvio\Programmi\Esecuzione automatica\
* \WINDOWS\Menu Dmarrer\Programmes\Dmarrage\
* \WINDOWS\Menu Iniciar\Programas\Iniciar\
* \WINDOWS\Menu Start\Programma"s\Opstarten\
* \WINDOWS\Menu Start\Programy\Autostart\
* \WINDOWS\Menuen Start\Programmer\Start\
* \WINDOWS\MenuIniciar\Programas\Iniciar\
* \WINDOWS\Start Menu\Programlar\BASLANGI
* \WINDOWS\Start Menu\Programs\StartUp\
* \WINDOWS\Startmen
* \WINDOWS\Start-meny\Programmer\Oppstart\
* \WINDOWS\Start-menyn\Program\Autostart\
* \WINME\Kynnist-valikko\Ohjelmat\Kynnistys\
* \WINME\Menú Inicio\Programas\Inicio\
* \WINME\Menu Avvio\Programmi\Esecuzione automatica\
* \WINME\Menu Dmarrer\Programmes\Dmarrage\
* \WINME\Menu Iniciar\Programas\Iniciar\
* \WINME\Menu Start\Programma"s\Opstarten\
* \WINME\Menu Start\Programy\Autostart\
* \WINME\Menuen Start\Programmer\Start\
* \WINME\MenuIniciar\Programas\Iniciar\
* \WINME\Start Menu\Programlar\BASLANGI
* \WINME\Start Menu\Programs\StartUp\
* \WINME\Startmen
* \WINME\Start-meny\Programmer\Oppstart\
* \WINME\Start-menyn\Program\Autostart\
4. Crea la siguiente clave en el registro de Windows:
Clave: HKLM\Software\BeyonD inDustries\ProtoType[v2 by R]
5. Permanece residente en memoria, ejecutándose ocultamente en un segundo plano (background) como un proceso, y está en espera de recibir comandos procedentes de usuarios remotos a través de canales IRC.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4158Agent.AGNombre completo: Trojan.W32/Agent.AG
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/TrojanProxy.Agent.AG, Win32.Reign.W, Win32/Reign.29227.Trojan
Troyano con capacidad de puerta trasera que permite el acceso no autorizado al equipo objeto de la infección.
Detiene la ejecución de varios procesos, muchos de ellos relativos a programas de seguridad informática (antivirus, cortafuegos,..), dejando el sistema desprotegido frente a otras amenazas.
Cuando Trojan.W32/Agent.AG es ejecutado, realiza las siguientes acciones:
1. Crea los siguientes archivos:
* - ruta del troyano -\x0r\_keys.log
* - ruta del troyano -\asuigg.dll
* - ruta del troyano -\adarros.dll
* - ruta del troyano -\x0r\svnhost.exe
2. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a las siguientes claves del registro de Windows:
Claves: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Valor: x0r = - ruta del troyano -\x0r\svnhost.exe
Nota: "- ruta del troyano -" puede ser alguna de las siguientes carpetas. Dicha ubicación depende del sistema operativo instalado:
* C:\Windows\System
* C:\Documents and Settings\user\Application Data
Notas:
* De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
* El troyano obtiene la ubicación de la carpeta "C:\Documents and Settings\user\Application Data" revisando la siguiente clave del registro de Windows:
Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Appdata
3. Para no ejecutarse más de una vez en memoria crea el mutex x0r_wk1ffdsfsddas1m1ksdjfhsdk_ver1_1_2.
Nota: Un mutex es un objeto utilizado para controlar el acceso a recursos (cualquier tipo de programas y aplicaciones, etc.) y evitar que más de un proceso acceda al mismo tiempo al mismo recurso. Esto previene la múltiple carga del gusano en memoria.
4. Trojan.W32/Agent.AG captura las pulsaciones realizadas sobre el teclado. Los datos obtenidos se guardan en el archivo - ruta del troyano -\x0r\_keys.log y se envían por correo electrónico utilizando una puerta trasera.
5. Se conecta a alguno de los siguientes sitios utilizando el puerto 80 en espera de recibir comandos remotos:
* lowcase.com
* lowcase.net
* govn3t.biz
* dn3t.biz
6. Un atacante remoto puede realizar alguna de las siguientes acciones en el equipo infectado:
* Iniciar un servidor FTP.
* Iniciar un servidor HTTP.
* Iniciar un servidor proxy.
* Descargar y ejecutar archivos desde un sitio web.
* Descargar y ejecutar archivos de propósito malicioso.
* Realizar un ataque de denegación de servicio (DoS).
* Obtener los datos capturados.
7. El troyano finaliza la ejecución de los siguientes procesos, muchos de ellos relativos a programas antivirus o a aplicaciones de seguridad infromática:
* _avp32.exe
* _avpcc.exe
* _avpm.exe
* ackwin32.exe
* anti-trojan.exe
* apvxdwin.exe
* armor2net.exe
* autodown.exe
* avconsol.exe
* ave32.exe
* avgctrl.exe
* avkserv.exe
* avnt.exe
* avp.exe
* avp32.exe
* avpcc.exe
* avpdos32.exe
* avpm.exe
* avptc32.exe
* avpupd.exe
* avsched32.exe
* avwin95.exe
* avwupd32.exe
* blackd.exe
* blackice.exe
* cfiadmin.exe
* cfiaudit.exe
* cfinet.exe
* cfinet32.exe
* claw95.exe
* claw95cf.exe
* cleaner.exe
* cleaner3.exe
* dvp95.exe
* dvp95_0.exe
* ecengine.exe
* esafe.exe
* espwatch.exe
* f-agnt95.exe
* findviru.exe
* fprot.exe
* f-prot.exe
* f-prot95.exe
* fp-win.exe
* frw.exe
* f-stopw.exe
* iamapp.exe
* iamserv.exe
* ibmasn.exe
* ibmavsp.exe
* icload95.exe
* icloadnt.exe
* icmon.exe
* icsupp95.exe
* icsuppnt.exe
* iface.exe
* iomon98.exe
* jedi.exe
* lockdown2000.exe
* lookout.exe
* luall.exe
* moolive.exe
* mpftray.exe
* n32scanw.exe
* navapw32.exe
* navlu32.exe
* navnt.exe
* navw32.exe
* navwnt.exe
* nisum.exe
* nmain.exe
* normist.exe
* nprotect.exe
* nupgrade.exe
* nvc95.exe
* nvsvc32.exe
* outpost.exe
* padmin.exe
* pavcl.exe
* pavsched.exe
* pavw.exe
* pccwin98.exe
* pcfwallicon.exe
* persfw.exe
* rav7.exe
* rav7win.exe
* rescue.exe
* safeweb.exe
* savscan.exe
* scan32.exe
* scan95.exe
* scanpm.exe
* scrscan.exe
* serv95.exe
* smc.exe
* sphinx.exe
* sweep95.exe
* tbscan.exe
* tca.exe
* tds2-98.exe
* tds2-nt.exe
* vet95.exe
* vettray.exe
* vscan40.exe
* vsecomr.exe
* vshwin32.exe
* vsstat.exe
* webscanx.exe
* wfindv32.exe
* zonealarm.exe
8. También crea alguna de las siguientes claves en el registro de Windows, para guardar datos:
Claves: HKLM\Software\Microsoft\Internet Explorer\Main\XP User
HKCU\Software\Microsoft\Internet Explorer\Main\XP User
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4159Prorat.18Nombre completo: Trojan.W32/Prorat.18
Tipo: [Trojan] - Caballo de Troya: programa que parece beficioso o útil pero resulta ser malicioso en algún momento. No se propaga por sí mismo.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:Win32/Prorat.18, BKDR_PRORAT.17, Backdoor:Win32/Prorat.O, Backdoor/Prorat.17
Troyano de puerta trasera, que permite el acceso ilícito a usuarios remotos al sistema infectado.
El atacante puede realizar, entre otras acciones, la captura de pulsaciones de teclado, obtener información del sistema y detener procesos en ejecución.
Esta escrito utilizando el lenguaje C++ y comprimido con la herramienta UPX.
Cuando Trojan.W32/Prorat.18 es ejecutado, realiza las siguientes acciones:
1. Crea los siguientes ficheros, y seguidamente borra el archivo original:
* C:\Windows\System\fservice.exe
* C:\Windows\System\wininv.dll
* C:\Windows\System\winkey.dll
* C:\Windows\services.exe
* C:\Windows\System\sservice.exe
Notas:
* Los archivos ".exe" creados por el troyano tienen atributos de sistema y oculto, esto evita que sean vistos desde el Explorador de Windows.
* Las dll creadas por el troyano son utilizadas para capturar la salida del teclado en el equipo infectado.
* De acuerdo a la versión del sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
2. A continuación, el troyano informa a un atacante externo enviando un mensaje por correo electrónico, ICQ, una pagina cgi o mediante ProMessenger.
3. Crea el archivo "C:\Windows\ktd32.atm", para capturar la salida del teclado.
4. Para ejecutarse automáticamente cada vez que el sistema es reiniciado, añade el valor indicado a la siguiente clave del registro de Windows:
Clave: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Valor: DirectX For Microsoft® Windows = C:\windows\system\fservice.exe
5. Modifica la siguiente clave en el registro de Windows:
Clave: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Valor: Shell = Explorer.exe C:\sindows\system\fservice.exe
6. Crea la siguiente clave en el registro de Windows para ejecutarse antes que cualquier otro proceso:
Clave: HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
{5Y99AE78-58TT-11dW-BE53-Y67078979Y}
Valor: StubPath = C:\windows\system\sservice.exe
7. Para guardar información crea la siguiente clave:
Clave: HKCU\Software\Microsoft DirectX
8. Un atacante externo puede utilizar la puerta trasera para conectarse al equipo infectado.
Si la conexión se realiza con éxito, el intruso puede realizar las siguientes acciones:
* Obtener el nombre del equipo.
* Obtener la versión del Internet Explorer.
* Obtener el nombre del usuario.
* Obtener las variables del sistema.
* Obtener la versión de Windows.
* Enviar mensajes.
* Buscar archivos.
* Terminar los procesos que se estén ejecutando.
* Realizar una impresión (si existe una impresora conectada)
* Ocultar o mostrar ventanas abiertas.
* Ver los procesos que se estén ejecutando.
* Obtener información de las teclas presionadas en el teclado.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4160Dister.BNombre completo: Backdoor.W32/Dister.B
Tipo: [Backdoor] - Programa que permite a otro usuario acceder de forma no autorizada al ordenador infectado.
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Alias:BKDR_DISTER.B
Troyano con capacidad de puerta trasera. Intenta conectar con ciertas IPs (codificadas directamente en su código) y espera instrucciones. Dispone de un motor SMTP, con lo que podría ser utilizado para enviar spam.
-Instalación:
Este troyano no se instala en ninguna carpeta en contreto. Para ser ejecutado durante el inicio de Windows, añade el siguiente valor:
Floppy Master = [ruta y nombre de fichero del troyano]
a la siguiente clave del registro:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Capacidad de puerta trasera.
Dister.B intenta conectarse con una dirección IP remota, donde aguarda órdenes para su componente de correo electrónico. Estas direcciones IPs están codificadas en el programa del troyano. Las instrucciones recibidas, junto con el servidor SMTP, las direcciones de destino y los detalles del mensaje son guardadas en el fichero WINHELP.BMP en la carpeta de Windows.
Más información:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4162
