W32/MSNmaker.B

Cuando el usuario del sistema infectado se conecte al MSN Messenger, quedará a merced del Backdoor, que además de ejecutar acciones que afectarán no solamente al usuario sino a todos los participantes de una misma sesión, este archivo maligno tomará control del sistema, en forma remota con acciones determinadas y otras impredecibles. 

Infecta a Windows98/2000/XP y Server 2003, está desarrollado en MS Visual C++ con una extensión variable, promedio de 20KB y protegido con el utilitario Morphine:

http://www.secretashell.com/BobSoft/Morphine.html

También pude ser descargado de algunos sitios web, con el nombre de MsnTricker.zip y que al desempaquetarse en memoria ejecuta las siguientes rutinas:

1. Verifica la existencia del archivo en la ruta C:\Archivos de programa\MSN Messenger\MSNMSGR.EXE
2. En caso hallarlo, renombra a MSNMSGR.EXE como MSN.EXE
3. Libera su copia infectada de nombre MSNMSGR.EXE y sobre-escribe al archivo original
4. En caso no encontrar el archivo en la ruta especificada, el troyano/backdoor se borrará asi mismo.

Cada vez que el usuario ejecute el MSN Messenger activará el troyano/backdoor, que mostrará esta falsa caja de diálogo:

La caja de diálogo es un instrumento de distracción al usuario, ya que el Backdoor se ejecutará en segundo plano.

El Backdoor emplea el MSN Messenger para ejecutar sus comandos remotos a través de este mismo servicio, pudiendo:

• Capturar mensajes enviados o recepcionados por el usuario del sistema infectado
• Cambiar el nombre del usuario en el MSN Messenger
• Habilitar o deshabilitar la recepción de sus mensajes
• Eliminar de la sesión al usuario
• Enviar mensajes Pop-up a los usuarios de una misma sesión
• Abrir direcciones URL
• Abrir la bandeja del CD-ROM/DVD
• Reiniciar el sistema
• Ejecutar otras acciones en forma remota mientras esté conectado a una misma sesión   

PER ANTIVIRUS® versiones 9.7 y 9.8 con registro de virus al 31 de Julio del 2006 detectan y eliminan este troyano/backdoor.