Troj/Adload.LN

Adload.LN es un troyano reportado el 20 de Mayo del 2008, que se propaga a través de las listas de contactos del Live Messenger, haciendo uso de las las funciones de las librerías que provee el propio Messenger y llaves de registro generadas. 

Para que la infección sea posible es necesario que el usuario esté conectado a una sesión de este servicio.

Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ con una extensión de 49KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Al ingresar a un sistema el troyano se copia al directorio %Windir% con el nombre de livemessenger.com y libera el archivo admintxt.txt en ese mismo directorio.

Para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves del registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Update" = "%Windir%\livemessenger.com"

[HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\RunOnce]
"Microsoft Update" = "%Windir%\livemessenger.com"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]
"Microsoft Update" = "%Windir%\livemessenger.com"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

Al siguiente inicio del equipo, el troyano deshabilita el Adminsitrador de la Barra de Tareas con la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
DisableTaskMgr = 1

Asimismo deshabilita el Editor de Registros con la sub-llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
DisableRegistrytools = 1 

Finalmente captura las direcciones de la Libreta de Contactos del Live Messenger, monitorea cualquier cambio del estado de sus contactos y se auto-envía a aquellos que hayan tenido alguna alteración.

PER ANTIVIRUS® versión X5 con registro de virus al 20 de Mayo del 2008, detecta y elimina eficientemente este troyano.