 |
Popwin es un destructivo troyano/backdoor reportado el 17 de Noviembre del 2006 que se propaga vía diversos servicios de Internet incluyendo mensajería instantánea ubicados en China. |
|
Troj/Popwin
|
Popwin es un destructivo troyano/backdoor reportado el 17 de Noviembre del 2006 que se propaga vía diversos servicios de Internet incluyendo mensajería instantánea ubicados en China. |
Se conecta vía el Internet Explorer a diversos sitios web ubicados en China desde donde descargará archivos con códigos malignos y ejecutará comandos arbitrarios en forma remota.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está escrito en MS Visual C++ con una extensión promedio de 89KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Al ser activado se copia a la carpeta %System% indistintamente con los nombres:
o con los siguientes archivos:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
crea uno de los siguientes servicios:
Display Name: PopWinIe
Image Path: %System%\PopWin.exe - service
o
Display Name: [cifra_hexadecimal_de_8_dígitos]
Image Path: %System%\[cifra_hexadecimal_de_8_dígitos].EXE -service
Inserta el PopWin.dll a los archivos Winlogon.exe y
Explorer.exe.
Al siguiente re-inicio del equipo, el troyano se conecta a los siguientes
portales chinos, desde los cuales descargará archivos con copias de sí mismo o
códigos malignos:
actuando como Backdoor podrá ejecutar, entre otras, las siguientes acciones:
NETEASE POPO
(China)
QQ Messenger (China)
UC
(China)
Taobao
(China)
PER ANTIVIRUS® versión 9.9 con registro de virus al 17 de Noviembre del 2006 detecta y elimina eficientemente este troyano/backdoor.
