|
Troj/Geto
Geto es un troyano residente en memoria reportado el 20 de Diciembre del 2005, que ingresa furtivamente a los sistemas a través de diversos servicios de Internet, incluso como anexado a mensajes de correo MultiSPAM, con un archivo de nombre MSUPDATE.EXE.Monitorea los sistemas infectados, extrae información y la envía a través de cualquier puerto abierto y disponible a una dirección de correo cifrada ubicada en una empresa de alojamiento de websites.
Es un PE (Portable Ejecutable) e infecta Windows 98/Me/2000/XP y Server 2003, está desarrollado en Visual C++, con una extensión de 5.5 y comprimido con el utilitario FSG:
Al ingresar a un sistema se copia a la carpeta %System% como Msupdate.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"default" = "%System%\Msupdate.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo el troyano activa su rutina MultiSPAM, luego verifica si el sistema está conectado a Internet e intenta descargar el archivo infectado de la ruta:
http://dimmers.phpwebhosting.com/absolut/msupdate.exe
el troyano monitorea los sistemas infectados y captura la siguiente información:
almacena los datos extraídos y los envía a través de cualquier puerto abierto y disponible a una dirección de correo cifrada ubicada en:
De igual modo el archivo actúa como "dropper" liberando códigos malignos.
Seguramente el ISP desconoce estas acciones, ya que su servicio brinda facilidades para crear sub-dominios con suma facilidad,
PER ANTIVIRUS® versión 9.5 con registro de virus al 20 de Diciembre del 2005 detecta y elimina este troyano.
