Troj/CoreFloo-C

Vea la información para eliminar troyanos.

Troj/CoreFloo-C es un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC.

El troyano llega en forma de un ejecutable de instalación, con nombre aleatorio de 7 caracteres a-z y extensión EXE.

Al ejecutarse en Windows 95, 98 o ME, copiará un archivo DLL en la carpeta System de Windows con un nombre aleatorio de 7 caracteres a-z.

Al ejecutare en Windows NT, 2000 o XP (sistema NTFS), copiará un archivo DLL asociado ADS a la carpeta System de Windows (normalmente <WINDOWS>\System32), con un nombre aleatorio de 7 caracteres.

El ejecutable de instalación iniciará el archivo DLL, que modificará la siguiente entrada del registro para activarse en el inicio del sistema:

HKLMSoftware\Microsoft\Windows\CurrentVersion\RunOnce \<nombre archivo> = rundll32 %SYSTEM% <nombre archivo>.dll,Init 1 HKLM\Software\Microsoft\Windows\CurrentVersion\Run \<nombre archivo> = rundll32 %SYSTEM% <nombre archivo>,Init 1

El archivo DLL se incluirá en el proceso de EXPLORER, con lo que será invisible desde el Administrador de tareas.

Troj/CoreFloo-C también incluye un sistema para evitar que el proceso sea detenido y que las entradas en el registro sean modificadas.