w32/mitglieder.c

Imagen biografía
Categoría: Troyanos
Valora este manual:





 
Enviada por: Administrador

Manual de informática de w32/mitglieder.c

trojan.mitglieder.c, mitglieder
tipo: troyano
tama?o: 9,728 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.6 al 20/01/2004
w32/mitglieder.c, es un troyano que permite el envi? de e-mails [open relay] en el computador atacado, de esta manera permite a otros utilizar el computador para el envi? no solicitado de e-mails comerciales.
cuando el troyano se ejecuta se copia a si mismo como:
system \system.exe
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s modifica algunas entradas en el registro para poder ejecutarse en cada reinicio del sistema:
hkey_local_machine\software\microsoft\windows\currentversion\run
ssgrate.exe= system \system.exe
si el sistema operativo es windows 95/98/me el troyano modifica la siguiente entrada en el registro:
hkey_users\. default\software\datetime
pid=<identificador de procesos>
uid=<valor aleatorio>
port=<puerto de escucha proxy>
si el sistema operativo es windows nt/2000/xp el troyano modifica la siguiente entrada en el registro:
hkey_current_user\software\datetime
pid=<identificador de procesos>
uid=<valor aleatorio>
port=<puerto de escucha proxy>
el troyano intentar? finalizar los siguientes procesos:
atupdater.exe atupdater.exe aupdate.exe autodown.exe autotrace.exe autoupdate.exe avpupd.exe avwupd32.exe avxquar.exe cfiaudit.exe drwebupw.exe icssuppnt.exe icsupp95.exe luall.exe mcupdate.exe nupgrade.exe nupgrade.exe update.exe intenta establecer contacto con los siguientes sitios web y notificar al atacante:
www.block-investment.de www.gasterixx.de www.deadlygames.de www.o-problemo.de www.tv87.de www.ranknet.de www.remix-world.de www.joerrens.de www.bbszene.de www.nikofor.com www.dyna-maik.de www.werk3.de www.gebr-wachs.de www.rgs-rostock.de www.lords-of-havoc.de luego descargar? y ejecutar? a otro troyano que roba passwords de nombre w32/ldpinch, desde los siguientes sitios web:
www.rgs-rostock.de www.gebr-wachs.de www.lords-of-havoc.de finalmente el gusano abre el puerto 39999 y habilita el envi? masivo de e-mails (open relay) desde el computador atacado.


Comparte este manual:


Comparte este manual por email con un amigo/a:

Tu nombre
Tu email
El nombre de tu amigo
El email de tu amigo