Detección agregada 04 ago 2006 01:17 GMT Actualización lanzada 04 ago 2006 03:18 GMT Descripción agregada 25 abr 2007 Comportamiento TrojanSpy

• Detalles técnicos
• Daños
• Instrucciones de eliminación

Detalles técnicos Programa troyano que reune información en el ordenador del usuario. Es un programa para Windows (fichero PE-EXE). Su tamaño es de 164.864 bytes. Está comprimido con PECompact. Su tamaño descomprimido es de 680 KB. Está escrito en C++.InstalaciónAl ejecutarse, el virus copia su archivo ejecutable al catálogo del sistema de Windows:%System%\winmgmt32.exeCon el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"winmgmt32.exe"="%System%\winmgmt32.exe" Daños El troyano termina los siguientes procesos:

accwiz32.exe
ahui32.exe
ahui32.exe
ashserven.exe
avgshserven.exe
bluetooth.exe
cmd32.exe
directsnd.exe
dxdiag32.exe
dxdiags.exe
dxdrv.exe
iexplorer.com
iexplorer.exe
msn_explorer.exe
msnscr.exe
spolsv.exe
spolsv.scr
svghosts.exe
system32.exe
terraxp.exe
winlogon32.exe
winmgmt.exe
winplay.exe
wscntfy.exe
wupdmgr32.exe

El troyano vigila las teclas pulsadas en las ventanas cuyos títulos se encuentran cifrados dentro del cuerpo del troyano. Guarda los informes que contienen las secuencias de las teclas pulsadas por el usuario en el siguiente directorio.con nombre del tipo: dmY-HMS, donde dmY es la fecha de creación del fichero, HMS la hora de creación del fichero.Además, el troyano periódicamente hace capturas de pantalla (con extensión .jpg) de las ventanas que se encuentran bajo el cursor del ratón y las guarda en el directorio:

%System%\winmgmt32

A continuación el troyano envía todos los ficheros que se encuentran en el directorio "%System%\winmgmt32" al servidor FTP del delincuente:

Bonege***.serveftp.com

Instrucciones de eliminación Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, sigua las siguientes instrucciones para eliminarlo:

1. Terminar el proceso del troyano con el Administrador de Tareas.
2. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
3. Eliminar el archivo:

   %System%\winmgmt32.exe

4. Eliminar el siguiente directorio y todo su contenido:

   %System%\winmgmt32

5. Borrar los siguientes parámetros de la llave de autoinicio del registro:[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

   "winmgmt32.exe"="%System%\winmgmt32.exe"

6. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).

Fuente: Viruslist