Troj/Drondog

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 23KB y no está encriptado. 

Deshabilita determinados programas que monitorean los cambios en las unidades de disco. Descarga un malware desde una dirección IP cifrada.

Al ingresar a un sistema se copia a la ruta:

%UserProfile%\Local Settings\Temporary Internet Files\[nombre_aleatorio_de_archivo].exe

y libera el siguiente archivo en la ruta:

%System%\drivers\usbhdd.sys

%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP

System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[defecto] = "%System%\drivers\usbhdd.sys"

Al siguiente inicio del equipo crea un nuevo servicio de sistema, con las características:

Nombre: %System%\usbhdd
Nombre mostrado: usbhdd
Tipo de Inicio: Automático

El mismo que deshabilita determinados programas que monitorean los cambios en las unidades de disco.

El troyano revisa las unidades de disco buscando el siguiente archivo:

%System%\userinit.exe

En caso de hallarlo, lo sobre-escribe con el código viral de un malware que descarga desde una dirección IP cifrada.

A continuación restaura los programas deshabilitados que monitoreaban los cambios en las unidades de disco.

Finalmente el troyano borra los siguienes archivos:

%System%\drivers\usbhdd.sys
%UserProfile%\Local Settings\Temporary Internet Files\[nombre_aleatorio_de_archivo].exe 

PER ANTIVIRUS® versiones X4 y X5 con registro de virus al 11 de Abril del 2008 detectan y eliminan este troyano.