Troj/Selex

Captura información del sistema y la envía a un dominio registrado en forma privada. Extrae direcciones de correo envía mensajes MultiSPAM.  

Infecta a Windows 98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 40KB y comprimido con rutinas propias. 

Al ingresar a un sistema crea la siguiente carpeta en la ruta:

%System%\outbook\selex

Luego se copia a:

%System%\outbook\selex\msninfo.exe

Para ejecutarse la próxima vez que ser re-inicie el sistema crea la llave de registro:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"msninfo.exe" = "%System%\outbook\selex\msninfo.exe"

Al siguiente inicio del equipo el troyano crea la llave:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\
Internet Settings\User Agent\Post Platform]
"QUID" = "[Número_de_Serie_del_sistema_infectado]-GOBBA EVO"

Descarga los siguientes archivos desde un dominio con registro privado en el Reino Unido, dirección de Holanda, teléfono de Dinamarca y alojado en los Estados Unidos.

www.depositodinegrimorti.com\subject.txt
www.depositodinegrimorti.com\body.txt

Extrae infomación sensible del sistema que es enviada con la petición HTTP POST al dominio depositodinegrimorti.com. 

Captura direcciones de correo del sistema y envía mensajes MultiSPAM con el asunto del subject.txt y el contenido del archivo body.txt con las siguientes caracterísiticas:

Asunto: Ma l'hai vista questa ?

Contenido: body.txt

body.txt contiene el siguiente código HTML:

PER ANTIVIRUS® versión X4 con registro de virus al 03 de Febrero del 2008 detecta y elimina este troyano.