rayner
Recien llegado
 Desconectado
Mensajes: 17
el ser humano es exclavo de lo q dice
|
 |
« : 09 de Diciembre de 2006, 05:10:01 » |
|
Nombre: Rustock.NAI Nombre NOD32: Win32/Rustock.NAI Tipo: Caballo de Troya
Alias: Rustock.NAI, Adware/Costrat, Hijacker.Costr at.s, Polynomial.Cod e.Exploit, TR/Click.Costrat.S, TrojanClicker. Win32.Costrat. 5ECF, Trojan-Clicker.Win32.Costrat.s, Win32/Rustock.0mq!Trojan, Win32/Rustock.gen!B, Win32/Rustock.NAI, Win32/Rustock.R Fecha: 17/nov/06 Plataforma: Windows 32-bit Tamaño: 74,752 bytes.
Escuchar esta noticia
Fuente: VS ANTIVIRUS
Se trata de un caballo de Troya con capacidades de acceso por puerta trasera (trojan backdoor), y keylogger (captura de información ingresada por el teclado).
También puede obtener información crítica del equipo infectado (usuarios, contraseñas, etc.). Algunas variantes poseen características de virus infector de ejecutables.
Puede borrar archivos relacionados con algunas aplicaciones antivirus y también cortafuegos.
Cuando se ejecuta, los siguientes archivos pueden ser creados en el sistema (en el raíz de C:, en la carpeta de Archivos temporales de Internet y en otras carpetas de Windows):
a00000000
cqiksorl.exe
dc3.exe
dc36.exe
dc4.exe
degoqatr.exe
dhcwslv[1].txt
dhcwslv[2].txt
gtgc.exe
iafhr.exe
ixod.exe
jhtluqav.exe
kpjfvu.exe
kqcuk.exe
lgytfqc[1].txt
maxuso.exe
mrbp.exe
oefhr.exe
tpcjom.exe
xnjqrmcg.exe
El troyano es capaz de capturar la siguiente información:
- Archivos de la aplicación WebMoney
- Configuración de la computadora (memoria, discos, etc.)
- Contraseñas de recursos compartidos
- Cuentas de acceso telefónico a redes
- Dirección IP, nombre del host y nombres de usuarios
- Programas que se ejecutan al inicio
- Versión instalada de Windows, llave de producto, etc.
La información capturada, es almacenada de forma encriptada en un archivo creado por el troyano, y luego enviada a diferentes direcciones electrónicas ubicadas en Rusia.
El troyano abre una puerta trasera y se conecta a un servidor de IRC, desde donde puede recibir instrucciones de un usuario remoto.
Algunas de las posibles acciones que el atacante podrá efectuar en el PC infectado:
- Descargar, instalar y ejecutar nuevos programas
- Enviar información robada a direcciones remotas
- Finalizar y borrar software antivirus
- Instalar un servidor proxy
En ocasiones, también infecta archivos ejecutables, agregando su propio código al principio de los mismos. Para ello, busca aquellos programas que figuren en las siguientes claves del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cuando actúa como infector de ejecutables, también puede borrar archivos con las siguientes extensiones:
.avc
.key
.vdb
Además, intenta borrar archivos cuyos nombres comiencen con las siguientes cadenas de texto (esto incluye conocidos antivirus y cortafuegos):
Aler
Anda
Anti
Avp
Clean
Guar
Kav
Nod
Outp
Scan
Total
Tren
Troj
Zone
El troyano puede modificar el archivo SYSTEM.INI en la carpeta de Windows (9x y Me), agregando las siguientes entradas:
[TFTempCache]
id=[valor]
RtlMoveMeory=[valor]
PING=[valor]
TIME=[valor]
hay unas cosas que no se me hacen nuevas uno no hace eso para no levantar sospechas
|
Autor