troj/sadhound-a, bck/sadhound, backdoor.sadhound, multidropper-ce, sadhound, troj_sadhound.a.
tipo: troyano
tama?o: 7,200 bytes, 11,296 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.4 al 31/01/2003. descripción:
w32.sadhound.a, es un troyano que permite el acceso remoto y no permitido de un intruso a la computadora infectada mediante un canal irc, además copia un archivo de texto en la carpeta temporales de windows.
cuando el troyano se ejecuta se copia a sí mismo en:
c:\windows\system\mswinsock.exe
además crea una entrada en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
microsoft auto update=c:\windows\system\mswinsock.exe
el archivo de texto contiene lo siguiente:
theres no
special reason
for sending
this to you,
except that...
i was feeling
a little lonely,
and when i asked myself
what i seemed to be
missing the most,
the answer
turned out to be
...you.
i miss you
----------------------------------
finalmente se conecta a un canal irc y queda a la espera de instrucciones (comandos), estas instrucciones permiten realizar lo siguiente:
enviar información de la computadora y de la red a su creador. editar el registro del sistema. finalizar procesos. manipula los archivos del sistema descargar archivos |
