Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Danae en 13 de Abril de 2005, 07:03:44 pm

Título: PSW.QQPass.AK Troyano que roba contraseñas
Publicado por: Danae en 13 de Abril de 2005, 07:03:44 pm

Win32/PSW.QQPass.AK Troyano que roba contraseñas y captura la salida del teclado en un equipo infectado.

aliases: Trojan-PSW.Win32.QQPass.cf, PWSteal.Lemir.Gen, TROJ_QQPASS.AO, Trojan Horse.AP, Win32/PSW.QQPass.AK, Troj/LegMir-AC
Troyano

CARACTERISTICAS
Cuando el troyano se ejecuta crea copias de si mismo dentro de las siguientes carpetas:
  C:\Windows\intrenat.exe
  C:\Windows\System\WinSocks.dll

De acuerdo a la versión de sistema operativo, las carpetas "c:\windows" y "c:\windows\system32" pueden variar ("c:\winnt", "c:\winnt\system32", "c:\windows\system").
Para ejecutarse en cada reinicio del sistema crea las siguientes entradas en el registro de Windows:
  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Run
  Intrenat = intrenat.exe
  HKLM\Software\Microsoft\Windows
  \CurrentVersion\RunServices
  Intrenat = intrenat.exe

El troyano captura la salida del teclado, los datos obtenidos son enviados a una dirección de correo electrónico predefinido.

Intenta terminar los siguientes procesos relacionados con aplicaciones de seguridad:

  ccenter.exe
  eghost.exe
  kavpfw.exe
  ravtimer.exe
  ravmon.exe
  system.exe

INSTRUCCIONES PARA ELIMINARLO
1. Desactive la restauración automática en Windows XP/ME.
2. Reinicie en Modo a prueba de fallos.
3. Ejecute un antivirus actualizado y elimine los archivos infectados.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", la entrada "Intrenat", en la siguiente clave del registro:
  HKLM\Software\Microsoft\Windows
  \CurrentVersion\Run
  HKLM\Software\Microsoft\Windows
  \CurrentVersion\RunServices
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.
Más información: http://www.enciclopediavirus.com/virus/vervirus.php?id=1868

Título: PSW.QQPass.AK Troyano que roba contraseñas
Publicado por: destroyer en 13 de Abril de 2005, 08:38:59 pm

Citar

Cuando el troyano se ejecuta crea copias de si mismo dentro de las siguientes carpetas:
C:\Windows\intrenat.exe
C:\Windows\System\WinSocks.dll

Gracias Danae

Un saludo