Troj/BeastDo-M

Vea la información para eliminar troyanos.

Troj/Beastdo-M es un troyano de puerta trasera que se oculta tras otros proceso y que permite el acceso no autorizado al equipo infectado.

El troyano se copia en la carpeta de Windows o en la carpeta System con un nombre de la forma MS????.COM donde los signos de interrogación representan caracteres aleatorios. También se copia en al carpeta Command (en Windows 9x) o en la carpeta Msagent (en sistemas basados en Windows NT) con el nombre MSCVNK.COM.

El troyano crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Troj/Beastdo-M también se añade a la siguiente entrada:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Systemb

El troyano copia un archivo DLL en la carpeta de Windows con el nombre DXDGNS.DLL, aunque este nombre puede variar.

Troj/Beastdo-M abrirá un puerto, especificado por el atacante, donde aguardará los comandos del atacante.

En Windows 9x el troyano se añadirá a los procesos SYSTRAY.EXE y IEXPLORER.EXE, EXPLORER.EXE o o cualquier otro programa abierto por el usuario. En sistemas basados en Windows NT, utilizará el proceso WINLOGON.EXE en vez de SYSTRAY.EXE.

Troj/BeastDo-M crea también la siguiente entrada:

HKCU\Software\Microsoft\RAS Autodial\Control\LoginSessionDisable = 1

El troyano podría enviar un email de confirmación al atacante.