|
Toyep es un gusano residente en memoria reportado el 17 de Agosto del 2006 de propagación masiva a través de mensajes de Correo con Remitente falso, Asuntos, Contenidos y archivos anexados aleatorios. |
|
|
|
Toyep es un gusano residente en memoria reportado el 17 de Agosto del 2006 de propagación masiva a través de mensajes de Correo con Remitente falso, Asuntos, Contenidos y archivos anexados aleatorios. |
No tiene efectos destructivos, descarga un troyano desde un servidor ubicado en Rusia y a través de un puerto TCP se conecta al IRC (Internet Relay Chat) uniéndose a un canal del Chat cifrado, desde donde recibirá instrucciones y comandos en forma remota.
Activa el Notepad y muestra un mensaje de texto.
Satura el tráfico a Internet en las zonas de mayor propagación.
Es un PE (Portable Ejecutable) e infecta Windows 98/NT/Me/2000/XP y Server 2003 está desarrollado y compilado en MS Visual Basic, con una extensión de 48 KB y comprimido con el utilitario MEW:
http://www.softpedia.com/get/Programming/Packers-Crypters-Protectors/MEW-SE.shtml
Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a los buzones de la Libreta de Direcciones de Windows o a las contenidas en archivos con las extensiones:
Los mensajes tienen las siguientes características:
Remitente: usa identidades falsas usando la técnica Spoofing.Asunto: uno de los siguientes:
Contenido: uno de los siguientes:
Anexado: cualquiera de estos archivos:
Al ser activado para evitar ser ejecutado en memoria más de una vez crea el mutex "PeyotCodedByHALT" y se copia a la carpeta %System% con el nombre de mfcapi32u.exe y para ejecutarse la próxima vez que se re-inicie el sistema crea la llave de registro:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mfcapi32u" = "%System%\mfcapi32u.exe"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
luego libera el archivo hack.txt, en la carpeta %Temp% el cual abre con la Libreta de Apuntes (Notepad) mostrando el siguiente texto:
| This is the joke. |
%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.
descarga desde la siguiente dirección el
archivo autoexeck.exe el que es copiado al directorio raíz C:\
http://www.traffall.biz/adv/053/win32.exe
Este archivo es un troyano identificado como Galapoper
y el portal de descarga se encuentra ubicado en Rusia.
para que la descarga y ejecución del troyano sea realizada eficientemente el
gusano crea la sub-llave:
[HKEY_CURRENT_USER\Software\MailPeyot]
PER ANTIVIRUS® versión 9.8 con registro de virus al 17 de Agosto del 2006 detecta y elimina este gusano.
