|
La información extraída la envía a servidores web mayormente ubicados en el continente asiático.
Es un PE (Portable Ejecutable) infecta Windows 95/98/NT/2000/NT/Me/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 68KB y comprimido con el utilitario Morphine:
http://www.secretashell.com/BobSoft/Morphine.html
Al ser activado se copia a las siguientes rutas con los nombres de archivo:
para ejecutarse la próxima vez que se re-inicie el sistema modifica las siguientes llaves:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run]
"Run" = "%System%\navapsvc.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Command Processor]
"AutoRun" = "%System%\navapsvc.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
"AutoRun" = "%System%\navapsvc.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
%UserProfile% es la variable que registra la información específica de cada usuario y que define los límites de su entorno de trabajo. Es igual a C:\Documents and Settings\[nombre_de _usuario] en Windows 2000/NT/XP
Al siguiente inicio, el troyano instala un servidor proxy en el sistema afectado y monitorea los procesos que tengan las siguientes cadenas:
y captura las contraseñas de estos procesos. También intenta robar las contraseñas temporales almacenadae en la memoria cache incluyendo a:
el troyano envia las contraseñas capturadas e información del sistema a las siguientes direcciones:
PER ANTIVIRUS® versión 10.1 con registro de virus al 15 de Junio del 2007 detecta y elimina este troyano.
