backdoor.threadsys, bkdr_threadsys.a, backdoor.thredsys.50
tipo: troyano
tama?o: variable
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 12/01/2004. descripción:
w32/threadsys, es un troyano que permite el acceso remoto y no permitido de un intruso a la computadora infectada. captura las pulsaciones del teclado (keylogger).
cuando el troyano se ejecuta muestra el siguiente falso mensaje de error:
threadsys0
the compressed (zipped) folder is invalid or corrupted.
seguidamente se copia a si mismo dentro de:
system \iexplorer0.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
tambi?n crea los siguientes archivos dentro de:
system \io32.dll
system \para.dll
system \routing.cfg
adem?s modifica las siguientes entradas en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
name= system \iexplorer0.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
win_api_driver= system \system.exe
finalmente intenta conectarse a un servidor predeterminado, si logra conectarse enviar? informaci?n del sistema y queda a la espera de recibir ordenes remotas de su creador. |
