trojan/satiloler.c

Imagen biografía
Categoría: Troyanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de trojan/satiloler.c

trojan.satiloler.c
tipo: troyano
tama?o: variable
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9, registro de virus al 14/02/2006
trojan/satiloler.c , es un troyano que intenta robar informaci?n confidencial del usuario como nombre de usuario, contrase?as e informaci?n de la computadora atacada. el troyano intenta iniciar un servidor proxy sobre un puerto tcp aleatorio.
el troyano es descargado por un archivos wmf malicioso que se aprovecha de la vulnerabilidad en el visor de im?genes y fax de windows, descrito en el boletin de seguridad de microsoft ms06-001
cuando el troyano es ejecutado crea un mutex de nombre _toolbar_class_32 , el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente crea una copia de respaldo (backup) de un archivo original del sistema system \userinit.exe a windows \system\userinit.exe, luego crea una copia de si mismo sobrescribiendo al archivo original userinit.exe en:
system \userinit.exe tambi?n se copia a si mismo como:
programfiles \common files\system\lsass.exe luego crea los siguientes archivos dentro de:
s ystem \xvid.dll s ystem \xvid.ini s ystem \divx.ini s ystem \init.dll c:\bkup.reg nota:
- programfiles representa la carpeta de archivos de programa (ej. c:\archivos de programa)
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s adiciona las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_current_user \software\microsoft\windows\currentversion\run
system = programfiles \common files\system\lsass.exe
hkey_local_machine \software\microsoft\windows nt \currentversion\windows
appinit_dlls = system\init.dll
tambi?n modifica los siguientes valores para deshabilitar la protecci?n de archivos de windows:
hkey_local_machine \software\microsoft\windows nt \currentversion\winlogon
sfcdisable =ffffff9d
hkey_local_machine \software\microsoft\windows nt \currentversion\winlogon
sfcscan =0
hkey_local_machine \software\microsoft\windows nt \currentversion\winlogon
system =
elimina todos los valores que encuentre en la siguiente entrada del registro:
hkey_local_machine \software\microsoft\windows\currentversion\run
modifica los siguientes archivos .dll y realiza una copia de resguardo en la carpeta windows \dllcache, de esta manera deshabilita la protecci?n de archivos de windows.
system \sfc_os.dll system \sfc.dll cerrar? todas las ventanas que tengan los siguientes textos en la barra de t?tulos:
norton personal firewall create rule for s un processus cache requiert une connexion reseau. ne plus afficher cette invite un proceso oculto solicita acceso a la red aceptar warning: components have changed &make changed component shared hidden process requests network access ein versteckter prozess verlangt netzwerkzugriff. permissiondlg &remember this answer the next time i use this program. &yes windows security alert allow all activities for this application kerio personal firewall alert create a rule for this communication and dont ask me again. seguidamente intentar? finalizar los siguientes procesos:
winldra.exe netscape.exe opera.exe firefox.exe mozilla.exe m00.exe wintbpx.exe swchost.exe svohost.exe svc.exe winsock.exe spools.exe kernels32.exe mwfibpx.exe nod32kui.exe mcupdate.exe mw1hel~1.exe realsched.exe tbon.exe pucxyloo.exe mouse32a.exe winupdates.exe backweb- qttask.exe mediagateway.exe sox1.exe shstat.exe spyaxe.exe xcommsvr.exe rwnt.exe shost.exe mouseelf.exe aimexdll.exe batserv2.exe elogerr.exe sysc.exe stopads.exe istsvc.exe uwfx5.exe dazzler.exe secure.exe spoolsrv32.exe ibm00001.exe kernels64.exe driver64.exe paytime.exe type32.exe mediapipe.exe adduz32.exe itbill.exe spysheriff.exe apifl.exe drsmartloadb.exe gcasserv.exe mpp2pl.exe unspypc.exe realsched.exe isstart.exe logitray.exe winstall.exe statusclient.exe mpcsvc.exe backorif.exe nopez.exe usrprmpt.exe netnw.exe hpbpsttp.exe nvarem.exe apifl.exeunspypc.exe finalmente realizar? las siguientes acciones:
1.- deshabilitar los siguientes programas:
c:\progra~1\mcafee.com\person~1\mpfagent.exe c:\progra~1\mcafee.com\person~1\mpftray.exe 2.- robar la siguiente informaci?n y guardarla en el archivo divx.ini dentro de la carpeta system
nombre de usuario pop3. contrase?as de autocompletar en el internet explorer. cuentas de autentificaci?n del msn. 3.- busca los siguientes textos en el navegador web y guarda todas las actividades realizadas en dichos sitios dentro del archivo divx.ini dentro de la carpeta system
deutsche-bank.de diba.de 1822direkt.com .haspa.de .sparkasse- mbs-potsdam.de .homebanking- .bankingportal. dresdner-privat.de .gad.de citibank.de .portal-banking.de vr-ebanking.de vr-networld-ebanking.de cc-bank.de commerzbanking.de lacaixa.es postbank.de cajamurcia.es caja-granada.es cajastur.es ebankinter.com axabanque.fr/client/sauthentification cahoot egg if.com smile first nation abbey natwest citi barclay allianc bank hsbc lloyd nwolb online hali npbs marbles trade rbs. caja caixa e-gold.com lacaixa.es viabcp.com banesto.es openbank.es cajacanarias.es caixatarragona.es payee_account bancaonline. openplan.co.uk 4.- toda la informaci?n capturada es subida a los siguientes sitios web
http://www.super-lolitas.com http://www.offshore-traffic.net http://www.offshore-traffic.com 5.- env?a solicitudes http a los siguientes sitios web
http://www.super-lolitas.com http://www.offshore-traffic.net http://www.offshore-traffic.com 6.- env?a la siguiente informaci?n que es obtenida en el computador atacado a uno de los sitios web mencionados anteriormente
nombre de usuario. n?mero de puerto tcp abierto. tipo de conexi?n (modem o lan) 7.- inicia un servidor proxy en un puerto tcp aleatorio.


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo