Troj/Ozdok

OZDOK troyano de HTTP se conecta a servidores web recibe y envía información y mensajes de correo MultiSPAM.

Troj/Ozdok

Ozdok es un troyano reportado el 13 de Febrero del 2008, que se propaga a través de diversos sitios web a los cuales se conecta. Descarga y extrae información.

Posee su propio servidor SMTP y envia mensajes MultiSPAM, desde las web conectadas.

Infecta a Windows 98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 67KB y comprimido con rutinas propias.

Al ingresar a un sistema se copia a las siguientes rutas:

%System%\svchost.exe:exe.exe
%Windir%\system32:svchost.exe

Para ejecutarse la próxima vez que ser re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\DomainProfile\AuthorizedApplications\List\%System%
"svchost.exe" = "%System%\svchost.exe:*:Enabled:svchost"

Al siguiente inicio del equipo el troyano crea el servicio:

Nombre de Servicio: ICF
Nombre Mostrado: ICF
Ruta de Imagen: %Systemdir%\svchost.exe:exe.exe

A través del puerto TCP 80 el troyano se conecta a los siguientes servidores web:

aaauaa.info
boratchik.com
sadukkanora.com
manukazorada.biz
netzakdjuq.biz
aaahme.info
beeddk.org
aaauaa.info
boratchik.com
sadukkanora.com
manukazorada.biz
netzakdjuq.biz
aaahme.info
beeddk.org
yankdream.info
iowandream.info
hitijeoairnv.biz
denizendream.org
kentuckianfuker.com
alaskanloxajz.com
fortunebird.biz

desde donde envia o recibe información y hasta comandos. Asimismo haciendo uso de su propio servidor SMTP envia mensajes MultiSPAM.

PER ANTIVIRUS® versión X4 con registro de virus al 13 de Febrero del 2008 detecta y elimina este troyano.