backdoor.unifida.13, backdoor.unifida.
tipo: troyano
tama?o: 24,064 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.4 al 24/02/2003. descripción:
w32/unifida, es un troyano que permite el acceso remoto y no permitido de un intruso a la computadora infectada. intenta obtener información del sistema, passwords guardados en el cache (dialup, modem, url, carpetas compartidas, etc).
cuando se ejecuta se copia así mismo en:
c:\windows\system\.exe
además modifica varias entradas en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
predeterminado=c:\windows\system32\.exe
hkey_local_machine\software\microsoft\windows\currentversion\runservices
predeterminado=c:\windows\system32\.exe
hkey_current_user\software\microsoft\windows\currentversion\run
predeterminado=c:\windows\system32\.exe
hkey_current_user\software\mirabilis\icq\agent\apps\ (dos espacios en blanco)
enable yes
parameters
path .exe
startup system
crea esta ultima entrada y valores para registrarse como una aplicación mirabilis icq, por lo tanto cuando el cliente icq se ejecute, el troyano tambien se ejecutará.
en sistema con windows 95/98/me, este se registra como un servicio en proceso, pero con atributo de oculto dentro de la lista de tareas.
informa al atacante (componente cliente), mediante el icq pager.
|
