Nombre:TR/Klog.Blue.A
Descubierto:28/10/2005
Tipo:Troyano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Bajo
Potencial dañino:Medio
Fichero estático:
Tamaño:24.520 Bytes
Suma de control MD5:71a0e9a6f7290f9e68bc8d8218869929
Versión del VDF:6.32.00.121

 General Método de propagación:
   • No tiene rutina propia de propagación


Alias:
   •  Bitdefender: Trojan.Keylogger.Blue.A


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows 2000
   • Windows XP


Efectos secundarios:
   • Registra las pulsaciones de teclado
   • Modificaciones en el registro

 Ficheros Se copia a sí mismo en la siguiente ubicación:
   • %WINDIR%\zprot32.exe



Crea los siguientes ficheros:

– C:\beta.htm
– C:\system.1st En este fichero se registran las pulsaciones de teclado.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • "SystemSecurity"="zprot32.exe"

 Backdoor (Puerta trasera) Servidor contactado:
El siguiente:
   • http://**********.net/0000/1111-2222/3333-4444/5555-6666/7777-8888/9999-AAAA/BBBB.php

Esto se realiza mediante el método HTTP POST, empleando un script PHP.


Envía informaciones acerca de:
    • Contraseñas guardadas
    • Direcciones de correo electrónico recopiladas
    • Ficheros de informe creados

 Robo de informaciones Intenta robar las siguientes informaciones:
– Contraseñas guardadas, empleadas por la función AutoComplete
– Informaciones acerca de la cuenta de correo, obtenidas de la clave del registro: HKCU\Software\Microsoft\Internet Account Manager\Accounts

– Las contraseñas de los siguientes programas:
   • OutlookExpress
   • MSN messenger
   • WebMoney

 Datos del fichero Lenguaje de programación:
 El programa de malware ha sido escrito en MS Visual C++.

Descripción insertada por Irina Boldea el viernes 28 de octubre de 2005
Descripción actualizada por Irina Boldea el viernes 28 de octubre de 2005

Volver . . . .