Troj/Nssearch

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP/Vista y Server 2003, escrito en MS Visual C++ con una extensión de 45KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

para ejecutarse la próxima vez que se re-inicie el sistema crea las llaves:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ShareSearcher" = "C:\wsusupd.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]
"UID" = "[20_caracteres_ASCII_aleatorios]"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]
"NVS" = "1"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]
"LSpc" = "[nombre_de_red_recursos_compartidos]"

Al siguiente inicio del equipo el troyano hace uso de la fuerza bruta con una extensa relación de nombres de usuarios y contraseñas e intenta ingresar a las redes con recursos compartidos como Administrador, para tener todos los privilegios.

De conseguir ingresar, el troyano busca los archivos que tengan la siguientes cadenas:

• DB3D30373132313031 (.=0712101)
• 5E30373132313031 (^0712101)

Evitando extraer información de aquellos con las siguientes extensiones:

• asp
• aspx
• avi
• bmp
• cab
• cgi
• chm
• dll
• dmp
• dwg
• exe
• gho
• ghs
• gif
• gm
• gz
• htm
• html
• iso
• jar
• jpg
• lnk
• mid
• midi
• mov
• mp1
• mp2
• mp3
• mpeg
• mpg
• msi
• pdf
• php
• pl
• png
• psd
• rar
• snd
• swf
• tar
• tgz
• tiff
• vbs
• wav
• wma
• zip

Actuando como Backdoor activa su servidor FTP y envía la información extraída a una empresa rusa de alojamiento de sitiso web:

ftp://duhast1.firstvds.ru

PER ANTIVIRUS® versiones 10.2 y 10.3 con registro de virus al 24 de Octubre del 2007 detectan y eliminan eficientemente este troyano/backdoor.