Menu
Ads/ Anuncios
Aparece un nuevo troyano que borra el antivirus
Nombre: Rustock.NAI Nombre NOD32: Win32/Rustock.NAI Tipo: Caballo de Troya Alias: Rustock.NAI, Adware/Costrat, Hijacker.Costrat.s, Polynomial.Code.Exploit, TR/Click.Costrat.S, TrojanClicker.Win32.Costrat. 5ECF, Trojan-Clicker.Win32.Costrat.s, Win32/Rustock.0mq!Trojan, Win32/Rustock.gen!B, Win32/Rustock.NAI, Win32/Rustock.R Plataforma: Windows 32-bit Tamaño: 74,752 bytes
También puede obtener información crítica del equipo infectado (usuarios, contraseñas, etc.). Algunas variantes poseen características de virus infector de ejecutables.
Puede borrar archivos relacionados con algunas aplicaciones antivirus y también cortafuegos.
Cuando se ejecuta, los siguientes archivos pueden ser creados en el sistema (en el raíz de C:, en la carpeta de Archivos temporales de Internet y en otras carpetas de Windows):
a00000000
cqiksorl.exe
dc3.exe
dc36.exe
dc4.exe
degoqatr.exe
dhcwslv[1].txt
dhcwslv[2].txt
gtgc.exe
iafhr.exe
ixod.exe
jhtluqav.exe
kpjfvu.exe
kqcuk.exe
lgytfqc[1].txt
maxuso.exe
mrbp.exe
oefhr.exe
tpcjom.exe
xnjqrmcg.exe
El troyano es capaz de capturar la siguiente información:
- Archivos de la aplicación WebMoney
- Configuración de la computadora (memoria, discos, etc.)
- Contraseñas de recursos compartidos
- Cuentas de acceso telefónico a redes
- Dirección IP, nombre del host y nombres de usuarios
- Programas que se ejecutan al inicio
- Versión instalada de Windows, llave de producto, etc.
La información capturada, es almacenada de forma encriptada en un archivo creado por el troyano, y luego enviada a diferentes direcciones electrónicas ubicadas en Rusia.
El troyano abre una puerta trasera y se conecta a un servidor de IRC, desde donde puede recibir instrucciones de un usuario remoto.
Algunas de las posibles acciones que el atacante podrá efectuar en el PC infectado:
- Descargar, instalar y ejecutar nuevos programas
- Enviar información robada a direcciones remotas
- Finalizar y borrar software antivirus
- Instalar un servidor proxy
En ocasiones, también infecta archivos ejecutables, agregando su propio código al principio de los mismos. Para ello, busca aquellos programas que figuren en las siguientes claves del registro:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cuando actúa como infector de ejecutables, también puede borrar archivos con las siguientes extensiones:
.avc
.key
.vdb
Además, intenta borrar archivos cuyos nombres comiencen con las siguientes cadenas de texto (esto incluye conocidos antivirus y cortafuegos):
Aler
Anda
Anti
Avp
Clean
Guar
Kav
Nod
Outp
Scan
Total
Tren
Troj
Zone
El troyano puede modificar el archivo SYSTEM.INI en la carpeta de Windows (9x y Me), agregando las siguientes entradas:
[TFTempCache]
id=[valor]
RtlMoveMeory=[valor]
PING=[valor]
TIME=[valor]
Descargar gratis antivirus eliminar troyanos - Antivirus 2008: El nuevo antivirus de Panda, ahora también con funciones antispyware, y más descargas.
Similares
Todas las horas están en GMTPuede responder temas
No puede editar sus mensajes
No puede borrar sus mensajes
Puede votar en encuestas
Espero que hayan disfrutado de este foro y que hayan aprendido algo nuevo. Quiero agradecer a todos los participantes por sus valiosas aportaciones y comentarios. También quiero dar las gracias a los moderadores por su excelente trabajo y a los organizadores por hacer posible este espacio de intercambio y debate. Les invito a seguir conectados con nosotros y a estar atentos a las próximas actividades que tenemos preparadas para ustedes. Recuerden que pueden seguir consultando el foro y acceder a los recursos compartidos en cualquier momento. Les deseo lo mejor y hasta pronto.
Subscribe to feed.
Únete a nuestra comunidad en línea y participa en el foro más vibrante sobre sin tener que registrarte. Aquí encontrarás debates animados, preguntas y respuestas, así como la oportunidad de conectarte con personas de todo el mundo que comparten tus intereses. 2020 2023.
Terminos y Condiciones de uso
Cookies -
Contacto