|
Troj/Infostealer.Geemarc
Geemarc es un troyano residente en memoria reportado el 11 de Marzo del 2008 que se propaga a través de servicios de Internet.Su componente "infostealer" revisa las carpetas de las unidades de disco y copia a una carpeta temporal los nombres de usuarios y contraseñas de las direcciones de correo de Gmail de Google.
Las envía al autor del troyano.
Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Visual C++, con una extensión de 67KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al ser activado se copia a la carpeta %System% con los nombres:
y crea la siguiente carpeta:
a la cual copia los siguientes archivos:
La próxima vez que se inicie el sistema, para almacenar los nombres de usuarios y contraseñas extraídas el troyano crea el temporal:
%UserProfile%\Local Settings\Temp
y genera las igueintes llaves de registro:
[HKEY_ALL_USERS\Software\Microsoft\Installer\Assemblies]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\{CE5F519C-E1E6-4DBC-9466-233F156244C7}]
Su componente "infostealer" revisa las carpetas de las unidades de disco y copia a la carpeta temporal los nombres de usuarios y contraseñas de las direcciones de correo de Gmail de Google.
Luego las envía al autor del troyano a una dirección cifrada contenido en su código viral.
%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP
%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.
%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.
PER ANTIVIRUS® versión X4 con registro de virus al 11 de Marzo del 2008 detecta y elimina este troyano.
