Troj/Flatse

Flatse es un troyano residente en memoria reportado el 26 de Mayo del 2008, que se propaga a través de los servicios de Mensajería de Yahoo y AIM (AOL Instant Messenger). Descarga un malware exploit automático.

Inhabilita el Firewall de Windows y ejecuta ataques de Denegación de Servicios (Dos) invocando servicios SYN, UDP y HTTP a las direcciones web contenidas en el cache DNS del sistema infectado. 

Infecta sistemas operativos Windows 98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 49KB y comprimido con rutinas propias. 

Al ingresar a un sistema se copia al directorio %Windir% con el nombre de smrs.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell Explorer.exe" = "%Windir%\smrs.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]

Al siguiente inicio del equipo, el troyano captura las direcciones de las Libretas de Contactos del Yahoo Messenger y el AIM y envía un mensaje invitándolos a visitar un sitio web, el cual tiene un malware exploit de descarga automática:

El troyano ejecuta ataques de Denegación de Servicios (DoS) invocando loa servicios SYN, UDP y HTTP a las direcciones web contenidas en el cache DNS del sistema infectado.

PER ANTIVIRUS® versión X5 con registro de virus al 26 de Mayo del 2008 detecta y elimina este troyano.