|
Troj/SpamBot.AF
SpamBot.AF es un troyano reportado el 10 de Abril del 2008 que se propaga a través de otros malwares o visitando páginas web expresamene acondicionadas.Infecta Windows 98/Me/NT/2000/XP y Server 2003, está desarrollado en Visual C++, con una extensión de 161KB y no está encriptado.
Actúa como un servidor Proxy y envía mensajes MultiSPAM
Al ingresar a un sistema se copia al directorio %System% con un nombre aleatorio y la extensión .EXE y apara ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\Run]
[nombre_de_malware] = "%System%\[nombre_de_archivo_malware].exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsCurrentVersion\RunServices]
[nombre_de_malware] = "%System%\[nombre_de_archivo_malware].exe"
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]
[aleatorio] ImagePath = "%System%\[nombre_de_archivo_malware].exe /service"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo, abre los puertos TCP/UDP 447 actuando como un servidor Proxy e intermedia la conexión entre el servidor y el sistema infectado, permitiendo ejecutar comandos arbitrarios en forma remota, ocultando su ubicación que solo es detectada por el sistema y el propio troyano.
luego intenta conectarse a los siguientes sitios web:
También es usado por otros malwares para enviar correo MultiSPAM, contruyendo mensajes bajo la combinación de los existentes en el sistema infectado y enviado por su propio motor SMTP (Simple Mail Transfer Protocol), sin la participación de cualquier otro servicio de correo, capturando direcciones de archivos con las siguientes extensiones:
Sin embargo los mensajes no contienen ninguna copia del troyano y son totalmente inocuos.
PER ANTIVIRUS® versiones X4 y X5 con registro de virus al 10 de Abril del 2008 detectan y eliminan este troyano.
