winpao
tipo: troyano
tama?o: 230,400 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.4 al 29/01/2003. descripción:
w32/winpao, es un troyano que roba información del computador atacado, nombre del servidor, passwords de correo, correo enviado, correo recibido, asunto de los mensajes, nombre de usuario, passwords entre otros datos para luego enviarsela a su creador. esta escrito en visual basic script 5.0 y comprimido con la utilidad asprotect.
este troyano puede llegar al computador mediante e-mails, disquetes, cd-rom, descargas de internet, ftp.
finaliza los procesos de aplicaciones de seguridad como firewalls y antivirus, estos son:
kav9x.exe kavsvc9x.exe kavsvcui.exe ravmon.exe smenu.exe watcher.exe. cuando el troyano se ejecuta se copia a sí mismo en:
c:\windows\system\esplorer.exe
tambien realiza múltiples copias del troyano con nombres aleatorios en todas las unidades del disco que hay en el computador infectado.
además crea una entrada en el registro para poder ejecutarse en cada reinicio del sistema
hkey_local_machine\software\microsoft\windows\currentversion\run
explorer=nombre y ruta del archivo aleatorio
seguidamente crea las siguientes entradas en el registro para que cada vez que se ejecute un archivo de extensión exe, chm, ini, reg, scr y txt. se ejecute primero el troyano
hkey_classes_root\ chm.file\ shell\ open\ command
predeterminado=nombre y ruta de fichero aleatorio 1
hkey_classes_root\ exefile\ shell\ open\ command
predeterminado=nombre y ruta de fichero aleatorio 1
hkey_classes_root\ inifile\ shell\ open\ command
predeterminado=nombre y ruta de fichero aleatorio 1
hkey_classes_root\ regfile\ shell\ open\ command
predeterminado=nombre y ruta de fichero aleatorio 1
hkey_classes_root\ scrfile\ shell\ open\ command
predeterminado=nombre y ruta de fichero aleatorio 1
hkey_classes_root\ txtfile\ shell\ open\ command
predeterminado=nombre y ruta de fichero aleatorio 1
luego crea otras entradas en el registro con los datos que seran enviados a su creador
hkey_classes_root\win675 youxiang_mima
hkey_local_machine\software\microsoft\classes\win675 fasong_youxiang
hkey_local_machine\software\microsoft\classes\win675 fasong_zhuti
hkey_local_machine\software\microsoft\classes\win675 fuwuqi
hkey_local_machine\software\microsoft\classes\win675 mima_wenjian
hkey_local_machine\software\microsoft\classes\win675 smtp_biaozhi
hkey_local_machine\software\microsoft\classes\win675 yonghu_ming
|
