Troj/Looksky

Emplea la técnica Rootkit para para ocultar su accionar. Abre un Backdoor desde donde ejecutará comandos arbitrarios, pudiendo tomar el control en forma remota de los sistemas infectados.

http://upx.sourceforge.net

para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"sysvx" = "%Windir%\sysvx_.exe"

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del sistema, el troyano registra su componente principal en la lista de aplicaciones de Windows para acceder a las redes, creando la siguiente llave: 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\sysvx.exe" = "%System%\sysvx.exe:*:Enabled:enable"  

Emplea la técnica Rootkit para para ocultar su accionar, luego descarga una lista de direcciones IP del siguiente URL:

http://www.5pro.us/synctl/whitevx.lst (dominio registrado en los Estados Unidos con una dirección de Rusia)

y guarda el archivo en la carpeta %System%.

descarga también una lista de direcciones IP para ejecutar ataques de Denegación de Servicios DoS del siguiente URL:

http://www.5pro.us/synctl/ddos.pif

Abre un Backdoor vía el puerto TCP 15855 a través del cual podrá realizar entre otras, las siguientes acciones:

• descargar y ejecutar archivos con códigos malignos.
• extraer información de teclas digitadas y cuentas de correo
• actualizar archivos en un archivo temporal.

Finalmente se conecta a un sitio en la web, cifrado, intentado descargar una actualización de sí mismo.

PER ANTIVIRUS® versión 9.7 con registro de virus al 06 de Junio del 2006 detecta y elimina este troyano/backdoor.