El troyano "Pardona.M." oculta sus procesos e infecta los ejecutables
Nombre: Pardona.M
Nombre NOD32: Win32/Pardona.M
Tipo: Caballo de Troya, gusano y virus
Alias: Pardona.M, BehavesLike:Win32.NetworkW orm, HEUR/Crypted, MalwareScope.B ackdoor.Hupigo n.9, W32/DLoader.BVAD, Win32.HLLW.Wuk e.2, Win32/Pardona.M
Fecha: 24/ene/07
Plataforma: Windows 32-bit
Tamaño: 39,936 bytes (BINARYRES)
Caballo de Troya y virus infector de ejecutables.
Puede ser descargado silenciosament e de sitios Web.
Puede propagarse como gusano a través de recursos compartidos en redes, y también vía correo electrónico.
Cuando se ejecuta, puede crear los siguientes archivos:
c:\windows\system32\ePower.exe
c:\windows\system32\[letras al azar].sys
El componente .SYS funciona como rootkit para ocultar procesos creados por el propio troyano.
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
También crea numerosas versiones de si mismo con nombres al azar en la carpeta de archivos temporales (TEMP).
Crea el siguiente servicio:
Nombre de servicio: SysDrver
Nombre para mostrar: System SSDP Services
Ruta de acceso al ejecutable: [camino y nombre]
Tipo: Automático
Para ello, crea la siguiente entrada en el registro de Windows:
HKLM\SYSTEM\CurrentControlSet\Services\SysDrver
El troyano intenta descargar otros archivos de Internet, los que pueden ser copiados con el siguiente nombre en el equipo infectado y luego ejecutados:
c:\tool.exe
Para ver este enlace Registrate o Inicia SesionFuente
Autor