Descripción completa

Nombre:	TR/PSW.Lmir.51944
Descubierto:	11/09/2006
Tipo:	Troyano
En circulación (ITW):	No
Número de infecciones comunicadas:	Bajo
Potencial de propagación:	Bajo
Potencial dañino:	Medio
Fichero estático:	Sí
Tamaño:	51.963 Bytes
Suma de control MD5:	d72a7db27962cdb93efb82737ef6cdaf
Versión del VDF:	6.35.01.208
Versión del IVDF:	6.35.01.212 - martes 12 de septiembre de 2006

General Método de propagación:
   • No tiene rutina propia de propagación

Alias:
   • Mcafee: PWS-WoW trojan
   • Kaspersky: Trojan-PSW.Win32.WOW.ih
   • TrendMicro: TSPY_WOW.LW
   • F-Secure: Trojan-PSW.Win32.WOW.ih

Plataformas / Sistemas operativos:
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Reduce las opciones de seguridad
   • Modificaciones en el registro
   • Roba informaciones

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %WINDIR%\LSASS.exe
   • %PROGRAM FILES%\Internet Explorer\INTEXPLORE.com
   • %PROGRAM FILES%\Common Files\INTEXPLORE.pif
   • %WINDIR%\EXERT.exe
   • %SYSDIR%\MSCONFIG.COM
   • %SYSDIR%\dxdiag.com
   • %SYSDIR%\regedit.com
   • %WINDIR%\Debug\DebugProgram.exe
   • D:\command.com

Crea el siguiente fichero:

– D:\autorun.inf

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • "ToP"="%WINDIR%\LSASS.exe"

Añade las siguientes claves al registro:

– [HKCR\WindowFiles]
– [HKCR\WindowFiles\DefaultIcon]
   • @="%1"

– [HKCR\WindowFiles\Shell]
– [HKCR\WindowFiles\Shell\Open]
– [HKCR\WindowFiles\Shell\Open\Command]
   • @="%WINDIR%\EXERT.exe "%1" %*"

Modifica las siguientes claves del registro:

– [HKLM\SOFTWARE\Classes\htmlfile\shell\open\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuevo valor:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome"

– [HKCU\Software\Microsoft\Internet Explorer\Main]
   Valor anterior:
   • "Check_Associations"=%configuración definida por el usuario%
   Nuevo valor:
   • "Check_Associations"="No"

– [HKCR\Applications\iexplore.exe\shell\open\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Nuevo valor:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1"

– [HKCR\CLSID\{%CLSID%}\shell\OpenHomePage\Command]
   Valor anterior:
   • @="%PROGRAM FILES%\Internet Explorer\iexplore.exe"
   Nuevo valor:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com""

– [HKCR\ftp\shell\open\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Nuevo valor:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" %1"

– [HKCR\htmlfile\shell\open\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuevo valor:
   • @=""%PROGRAM FILES%\Internet Explorer\INTEXPLORE.com" -nohome"

– [HKCR\htmlfile\shell\opennew\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" %1"
   Nuevo valor:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" %1"

– [HKCR\http\shell\open\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuevo valor:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" -nohome"

– [HKLM\SOFTWARE\Classes\http\shell\open\command]
   Valor anterior:
   • @=""%PROGRAM FILES%\Internet Explorer\iexplore.exe" -nohome"
   Nuevo valor:
   • @=""%PROGRAM FILES%\common~1\INTEXPLORE.pif" -nohome"

– [HKCR\.exe]
   Valor anterior:
   • @="exefile"
   Nuevo valor:
   • @="WindowFiles"

Finalización de los procesos Termina los procesos que contienen las siguientes series de caracteres:
• MMSK; RAVMON; TROJDIE; KPOP; CCENTER; ASSISTSE; KPFW; AGENTSVR; KV;
KREG; IEFIND; IPARMOR; SVI.EXE; UPHC; RULEWIZE; FYGT; RFWSRV; RFWMA

Robo de informaciones Intenta robar las siguientes informaciones:

– Las contraseñas de los siguientes programas:
   • World of old oriental legends
   • World of Warcraft
   • Zhengtu

– Después de visitar uno de los siguientes sitios web, se crea una rutina para generar ficheros de informe:
   • us.logon.worldofwarcraft.com
   • eu.logon.worldofwarcraft.com
   • tw.logon.worldofwarcraft.com

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Visual Basic.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea un programa de compresión de ejecutables.

Descripción insertada por Adriana Popa el lunes 25 de septiembre de 2006
Descripción actualizada por Adriana Popa el lunes 25 de septiembre de 2006

Volver . . . .

Protección destacada para PC del hogar

Productos gratis

Más populares

Todos los productos

Paquetes de soluciones

Terminales

Server

Paquetes de soluciones

Puertas de enlace de correo

Puertas de enlace web

Plataformas de colaboración

Particulares

Empresas

Laboratorio de virus

Más soporte

Hágase socio de Avira

Particulares

Empresas

?Solo quiere evaluar un producto?

Manuales y herramientas