|
Troj/Bkdr.QOW
Troj/Bkdr.QOW es un troyano/backdoor reportado el 15 de Agosto del 2008, que se propaga a través de servicios de Internet o visitando páginas web que han sido especialmente programadas.Crea un falso servicio con un driver de sistema y a través del puerto TCP 8080 establece una conexión con un servidor HTTP encriptado, desde el cual ejecutará acciones arbitrarias.
Infecta a Windows 98/Me/NT/2000/XP/Vista y Server 2003, está desarrollado en Visual C++ con una extensión de 38KB y encriptado con rutinas propias.
Una vez ingresado al sistema se copia a las siguientes rutas:
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Para ejecutarse la próxima vez que se re-inicie el sistema crea la llave:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"buvizy" = "%System%\fouro.exe"
Al siguiente inicio del equipo el archivo jedoupynna.exe es registrado como un nuevo servicio de driver de sistema con las características:
Nombre mostrado: d77xxfaay4
Descripción: Canon BJ Memory Card Manager
Rutina de ejecución: Automática
Este falso servicio a través del puerto TCP 8080 establece una conexión con un servidor HTTP encriptado, desde el cual podrá ejecutar acciones arbitrarias.
Finalmente agrega valores a la llave de registro:
[HKLM\SYSTEM\CurrentControlSet\Services\d77xxfaay4]
PER ANTIVIRUS® versión X6 con registro de virus al 15 de Agosto del 2008 detecta y elimina este troyano/backdoor.
