|
Troj/Spryct
Spryct es un troyano reportado el 27 de Mayo del 2008 que se propaga visitando páginas web expresamente acondicionadas.Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Assembler con una extensión de 79,360 bytes y no está encriptado.
Roba información del sistema y descarga un archivo de configuración de sistema y aleatoriamente malwares de dos web ubicadas en Dinamarca y una en los Estados Unidos, las cuales han sido "crackeadas".
Al ingresar a un sistema se copia a la carpeta %System% como crypts.dll y para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt]
"Asynchronous" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt]
"DllName" = "%System%\crypts.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt]
"Impersonate" = "1"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt]
"StartShell" = "Run"
System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Al siguiente inicio del equipo el troyano captura la siguiente información:
La misma que envía a una dirección de correo cifrada perteneciente al autor.
Luego se conecta a las siguientes URLs, las mismas que han sido crackeadas y desde las cuales intenta descargar un archivo de configuración de sistema:
http://www.itrysrying.com/[Removido] ubicado en Dinamarca
http://www.littlesoring.com/[Removido] ubicado en Dinamarca
http://www.dbafbceefae.com/[Removido] ubicado en USA
El archivo de configuración se almacena en la siguiente ruta:
%UserProfile%\Temp\[Nombre_aleatorio_de_archivo].tmp
Aleatoriamente, el troyano puede descargar archivos malware en los sistemas infectados.
PER ANTIVIRUS® versión X5 con registro de virus al 27 de Mayo del 2008 detecta y elimina este troyano.
