|
Troj/Renos.AEA
Renos.AEA es un troyano residente en memoria, reportado el 31 de Julio del 2008, propagado conjuntamente con otros malware.Infecta a Windows 98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 110,080 bytes.
Crea una falsa salva-pantallas y fondo de escritorio de Windows con un mensaje en texto ASCII. Descarga malwares.
Una vez ingresado a un sistema se copia a:
%System%\blphc3pgj0e3ct.scr (pantalla
azul)
%System%\lphc3pgj0e3ct.exe (copia del troyano)
%System%\phc3pgj0e3ct.bmp (archivo inocuo)
Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run]
"lphc3pgj0e3ct" = "%System%\lphc3pgj0e3ct.exe"
Además modifica las siguientes entradas de registro:
[HKEY_CURRENT_USER\Control Panel\Desktop]
ScreenSaveActive = "1"
[HKEY_CURRENT_USER\Control Panel\Desktop]
TileWallpaper = "0"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
DisableSR = "0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sr]
Start = "0"
El troyano configura el archivo phc3pgj0e3ct.bmp para crear un falso fondo de escritorio modificando las siguientes entradas:
[HKEY_CURRENT_USER\Control Panel\Desktop]
Wallpaper = "%System%\phc3pgj0e3ct.bmp"
[HKEY_CURRENT_USER\Control Panel\Desktop]
OrigianlWallpaper = "%System%\phc3pgj0e3ct.bmp"
[HKEY_CURRENT_USER\Control Panel\Desktop]
ConvertedWallpaper = "%System%\phc3pgj0e3ct.bmp"
Como consecuencia muestra el siguiente fondo de escritorio:
Luego configura el archivo blphc3pgj0e3ct.scr como salva-pantalla creando la siguiente entrada:
[HKEY_CURRENT_USER\Control Panel\Desktop]
"SCRNSAVE.EXE" = "%System%\blphc3pgj0e3ct.scr"
Finalmente el troyano se conecta a diferentes sitios web para descargar malwares en el sistema infectado:
PER ANTIVIRUS® versiones X5 y X6 con registro de virus al 31 de Julio del 2008 detecta y elimina este troyano.
