backdoor.xebiz, backdoor-cgt, xebiz.a, troj/xebix.a, trojan.win32.genme.a
tipo: troyano
tama?o: 15,360 bytes (.exe) 3,072 bytes(.dll)
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 14/07/2004 descripción:
w32/xebiz , es un troyano que permite el acceso remoto y no permitido de un intruso a la computadora infectada, este llega como envi? masivo de e-mails (spam), estos mensajes contienen un enlace para un determinado sitio web en el cual se encuentra el troyano, este enlace descarga el archivo llamado links.hta, que a su vez descarga y ejecuta al troyano como ss.exe
cuando el gusano se ejecuta se copia a si mismo como:
system \ss.exe
tambi?n crea los siguientes archivos en:
system \ss.dat
system \dss.dll
system \dssa.dll
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 ).
adem?s modifica las siguientes entradas en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\shellserviceobjectdelayload
ss={entrada clsid creada por el troyano}
hkey_classes_root\clsid\{entrada clsid creada por el troyano}\inprocserver32
[predeterminado]=dssa.dll
finalmente abre un puerto tcp aleatorio y envia una notificaci?n al atacante, el cual contiene el n?mero de puerto y la direcci?n ip del computador atacado. |
