Detección agregada 17 may 2007 07:45 GMT Actualización lanzada 17 may 2007 09:35 GMT Descripción agregada 14 jun 2007 Comportamiento TrojanSpy

• Detalles técnicos
• Daños
• Instrucciones de eliminación

Detalles técnicos Programa troyano-espía destinado a robar la información confidencial del usuario. El programa es una biblioteca de Windows (fichero PE DLL). Su tamaño es de 67.776 bytes. No está empaquetado de ninguna forma. Está escrito en Visual C++.InstalaciónEste programa troyano se instala en el sistema mediante otros programas nocivos.

• El troyano añade la siguiente clase de objeto:

  [HKLM\Software\Classes\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]
  [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}] 
  [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}\InprocServer32]
  ""

• Registra el Browser Helper Objects:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]

• Modifica la configuración de Internet Explorer:[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

  "IEXPLORE.EXE" = "IEXPLORE.EXE:*:Enabled:Internet"

  [HKCU]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]

  [HKCU\Software\Internet Explorer\Main]

  "Enable Browser Extensions" = "yes"

• También crea la siguiente llave con los parámetros de instalación:

  [HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\load]

Daños Al ejecutar Internet Explorer, el componente troyano se iniciará de forma automática. Después de iniciarse el troyano busca las contraseñas guardadas en el caché y empieza a guardar en el fichero "form.txt" las contraseñas que el usuario escriba.Además, el troyano crea un fichero con el nombre "info.txt", en el cual escribe la siguiente información:

• el nombre del ordenador
• su dirección IP
• el tipo de sistema operativo
• el nombre de la cuenta del usuario
• los datos del programa Outlook

Instrucciones de eliminación Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:

1. Terminar el trabajo con Internet Explorer.
2. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3. Eliminar los siguiente parámetros de la llave del registro:[HKLM\Software\Classes\AppID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]

   [HKLM\Software\Classes\CLSID\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}]

   [HKCU]\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{36DBC179-A19F-48F2-B16A-6A3E19B42A87}

   [HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\load]

4. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).

Fuente: Viruslist