|
Troj/Prosti
Prosti es un troyano/backdoor residente en memoria reportado el 08 de Febrero del 2006, que ingresa furtivamente a los sistemas a través de diversos servicios de Internet, incluso como anexado a mensajes de correo MultiSPAM, con un archivo de nombre lass..exe.Termina los procesos de varios antivirus y software de seguridad.
Monitorea los sistemas infectados, extrae información y la envía a través de cualquier puerto abierto y disponible a una dirección de correo cifrada ubicada en una empresa de alojamiento de websites ubicada en la China.
Es un PE (Portable Ejecutable) e infecta Windows 95/98/Me/2000/XP y Server 2003, está desarrollado en Visual C++, con una extensión de 18KB y comprimido con el utilitario FSG:
Al ingresar a un sistema se copia a la carpeta %System% como lass..exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la siguiente llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell" = "Explorer.exe %System%\lass..exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo el troyano termina los procesos de los siguientes antivirus:
el troyano libera el archivo service.dll en la la carpeta %System%, el cual actua como Keylogger y captura la digitación de teclas.
luego intenta conectarse al siguiente URL para descargar un archivo de texto:
http://www.tencent.com/[removido]/ip.txt
Actuando como Backdoor se conecta a través de puertos TCP aleatorios desde donde capturará la siguiente información:
almacena los datos extraídos y los envía a través de cualquier puerto TCP abierto y disponible a una dirección de correo cifrada ubicada en:
Seguramente el ISP ubicado en la China desconoce estas acciones, pues sus servicios permiten crear sub-dominios con suma facilidad,
PER ANTIVIRUS® versión 9.6 con registro de virus al 08 de Febrero del 2006 detecta y elimina este troyano/backdoor.
