|
W32/Trats
Trats es un gusano/backdoor reportado el 07 de Diciembre del 2007, que se propaga a través de diversos servicios de internet incluyendo mensajes de correo MultiSPAM.Su componente backdoor extrae información crítica del sistema incluyendo teclas digitadas y las envía a una IP de una empresa de alojamiento web ubicada en Holanda.
Infecta a Windows 98/NT/2000/XP/Vista y Server 2003, está desarrollado en MS Visual C++ con una extensión de 36KB y encriptado con rutinas propias.
Una vez ingresado al sistema se copia a las siguientes rutas con los nombres de archivos:
%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
para ejecutarse la próxima vez que se re-inicie el sistema crea las siguientes llaves de registro:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load" = "[caracteres_aleatorios].exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Notification Packages" = "scecli[caracteres_aleatorios].dll"
Al siguiente inicio del equipo del sistema el gusano activa su componente Backdoor y captura información crítica del sistema incluyendo nombres de usuarios, contraseñas y ejecuta un "keylogger" que captura teclas digitadas y las envía a través de un puerto TCP abierto a la IP:
http://85.17.173.196/
la misma que corresponde al rango de IP's de una empresa alojadora de websites ubicada en Holanda:
http://www.leaseweb.com/
PER ANTIVIRUS® versión 10.3 con registro de virus al 07 de Diciembre del 2007 detecta y elimina este gusano/backdoor.
