Se trata de un Caballo de Troya que monitorea cuando el usuario se conecta, a ciertos servidores relacionados con el juego en línea "World of Warcraft", para capturar la salida del teclado y enviar a un usuario remoto información como nombre de usuario y contraseña, según informa VSantivirus.
Cuando se ejecuta, crea algunos de los siguientes archivos:
internat.exe
msdll.dll
rundll32.exe
svchpsz.exe
svchs0t.exe
svhost32.exe
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
load = [camino y nombre del ejecutable]
El troyano se inyecta dentro de otros procesos en ejecución, incluyendo el propio shell de Windows (EXPLORER.EXE), y permanece atento a la apertura de ventanas relacionadas con el antedicho juego.
También intenta deshabilitar los procesos activos que contengan las siguientes cadenas en sus nombres, para evitar ser detectado (la mayoría de estos procesos están relacionados con programas de seguridad):
eghost.exe
kavpfw.exe
mailmon.exe
ravmon.exe
ravmond.exe
zonealarm
Además, intenta descargar y ejecutar otros archivos desde Internet.
No hay comentarios:
Publicar un comentario