Small.ITG

SMALL.ITG troyano de HTTP se conecta a URL descarga archivo roba direcciones y contraseñas de correo.

Troj/Small.ITG

Small.ITG es un troyano reportado el 17 de Agosto del 2007 que ingresa a los sistemas a través de diversos servicios de Internet, principalmente visitando diversas páginas web que han sido "crackeadas".

Roba direcciones de correo y contraseñas y las envía a una dirección de correo cifrada.

Es un PE (Portable Ejecutable) infecta Windows 98/NT/2000/NT/Me/XP y Server 2003, está desarrollado en Visual C++ con una extensión de 31KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al ser activado se copia a las siguientes rutas con los nombres:

%Program Files%\cchost\cchost.exe (el troyano)
%Program Files%\cchost\unins000.dat (archivo inócuo)
%Program Files%\cchost\unins000.exe (archivo inócuo)
%Start Menu%\cchost.lnk (archivo inócuo)
%Windir%\cchost.ini (archivo inócuo)

Para ejecutarse la próxima vez que se reinicie el sistema el troyano usa el archivo cchost.lnk liberado en %Start Menu%.

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

%Windir% es una variable que corresponde a C:\Windows en Windows 95/98/Me/XP/Server 2003 y C:\Winnt en Windows NT\2000.

%Start Menu% es la barra de menu del lado izquierdo del escritorio de Windows que muestra la lista de programas más usados en un sistema. Se activa haciendo click en "Inicio".

Al siguiente inicio del equipo el troyano se conecta al siguiente URL para descargar una copia de sí mismo, con el nombre de setup.exe:

http://www.cool.net/remotewatch/send_task.php?data2=60d95c9bf968ba6afb2c3a51c56f828ef065fd56868385

el archivo descargado capturará contraseñas de direcciones de correo almacenadas en la memoria cache de:

pop3
httpmail
hotmail
outlook express

cuya información enviará a una dirección de correo cifrada.

PER ANTIVIRUS® versión 10.2 con registro de virus al 17 de Agosto detecta y elimina este troyano.