Sophos

Troj/Prorat-D

Alias
  • Backdoor.Prorat.15
Categoría
Tipo
Qué hacer
Prevalencia baja alta

Resumen

 
Protección disponible desde 16 de marzo de 2004 15:23:46 (GMT)
Detectado por Todos los productos de Sophos

Acción

Vea la información para eliminar troyanos.

Más información

Troj/Prorat-D es un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado.

Al ejecutarse por primera vez, Troj/Prorat-D se copia en la carpeta System o System32 de Windows usando diferentes nombres como: FSERVICE.EXE, FFSERVICE.EXE, DSERVICE.EXE, LSERVICE.EXE, SSERVICE.EXE y WSERVICE.EXE.

Troj/Prorat-D crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ Windows Reg Services = C:\<Windows System>\<archivo>

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Windows Reg Services = C:\<Windows System>\<archivo>

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ Shell = Explorer.exe C:\<Windows System>\<archivo>

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\ Windows Reg Services = C:\<Windows System>\<archivo> DirectX for Microsoft Windows = C:\<Windows System>\<archivo>

HKLM\Software\Microsoft\Active Setup\Installed Components\ [A75aed00-d7bf-11d1-9947-00c0Cf98bbc9]\ StubPath = C:\<Windows System>\<archivo>

HKLM\Software\Microsoft\Active Setup\Installed Components\ [5Y99AE78-58TT-11dW-BE53-Y67078979Y]\ StubPath = C:\<Windows System>\<archivo>

El troyano además intenta descargar e instalar el archivo http://members.lycos.co.uk/kabloboy/XP_Update v1.5.3.exe en la carpeta Windows con el nombre WINLOGON.EXE que se encarga de copiar el archivo WINKEY.DLL en la carpeta System de Windows y crea la siguiente entrada de registro:

HKCU\Software\Microsoft DirectX\WinSettings\

El archivo WINKEY.DLL incluye en su código Troj/Prorat-C.

El archivo descargado también modificará los valores [boot] y [windows] en los archivos SYSTEM.INI y WIN.INI respectivamente, para incluir la ruta de acceso al archivo original, por ejemplo:

Archivo: SYSTEM.INI Sección: boot Parámetro: shell (Nuevo) Valor: EXPLORER.EXE C:\<Windows System>\<archivo>

Archivo: WIN.INI Sección: windows Parámetro: run (Nuevo) Valor: C:\<Windows System>\<archivo>

Troj/Prorat-D utiliza algunas técnicas para evitar su eliminación.

RSS|Atom
Recibir informes sobre las amenazas de virus y programas espía más recientes