keylogger.mose
tipo: troyano keylogger
tama?o: variable
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9 al 02/04/2006. descripción:
trojan/mose, es un troyano keylogger que captura todas las pulsaciones del teclado, este utiliza t?cnicas rootkit para ocultar sus archivos, procesos y entradas en el registro.
cuando el troyano se ejecuta se copia a si mismo con todos sus componentes dentro de:
system \drivers\mdojtgmr.sys system \mdojtgmr.dll system \mdojtgmr.drv system \mdojtgmr.ime system \mdojtgmr.tmp system \mdojtgmr.log nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea un servicio de nombre mdojtgmr en la siguiente llave del registro:
hkey_ local_machine\system\controlset[ n?mero] \services\mdojtgmr
hkey_ local_machine\system\controlset[ n?mero] \enum\root\legacy_mdojtgmr
crea la siguiente entrada en el registro para poder cargar su componente .dll utilizando el servicio de notificaci?n de eventos del sistema (system event notification service - sens)
hkey_ local_machine\system\controlset[ n?mero] \services\sens\parameters
servicedll= systemroot \system32\mdojtgmr.dll
captura los siguientes kernel apis para ocultar sus archivos, procesos y entradas en el registro:
zwquerysysteminformation zwdeviceiocontrolfile zwopenkey zwenumeratekey zwquerydirectoryfile finalmente se une a si mismo dentro de los procesos del winlogon.exe o svchost.exe, de esta manera intenta ocultar su presencia en el computador atacado, seguidamente crea un proceso oculto llamado c:\program files\internet explorer\iexplore.exe, el troyano utiliza este proceso para intentar conectarse a los siguientes dominios:
gyxk.vicp.net mosheng.mm-see.com
|
