trojan/satiloler.e
trojan.satiloler.e
tipo: troyano
tama?o: 33,792 bytes
origen: internet
destructivo: no en la calle (in the wild): si detección y eliminación: the hacker 5.9, registro de virus al 28/02/2006.
trojan/satiloler.e , es un troyano que intenta robar informaci?n confidencial del usuario, como nombre de usuario, contrase?as e informaci?n de la computadora atacada. el troyano intenta iniciar un servidor proxy sobre un puerto tcp aleatorio.
cuando el troyano es ejecutado crea un mutex de nombre _toolbar_class_32 , el cual permite que solo una instancia del troyano se ejecute en memoria.
verifica la existencia del archivo system \vsdatant.sys el cual pertenece al firewall de zonealarm, si dicho archivo existe, el troyano pega un archivo malicioso de nombre ip.sys dentro de la carpeta system \drivers y crea un servicio del sistema de nombre ip4sec que elimine el archivo del zone alarm en el siguiente reinicio.
seguidamente crea una copia de respaldo (backup) de un archivo original del sistema system \userinit.exe a windows \system\userinit.exe, luego crea una copia de si mismo sobrescribiendo al archivo original userinit.exe en:
system \userinit.exe tambi?n se copia a si mismo como:
programfiles \common files\system\lsass.exe windows \system\ctfmon.exe luego crea los siguientes archivos dentro de:
s ystem \divx.ini s ystem \xvid.dll system \xvid.ini system \init.dll nota:
- programfiles representa la carpeta de archivos de programa (ej. c:\archivos de programa)
- windows representa la carpeta de instalaci?n de windows (ej. c:\windows, c:\winnt )
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32)
adem?s adiciona las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
hkey_current_user \software\microsoft\windows\currentversion\run
system = programfiles \common files\system\lsass.exe
hkey_local_machine \software\microsoft\windows nt\currentversion\windows
appinit_dlls = system \init.dll
tambi?n modifica los siguientes valores para deshabilitar la protecci?n de archivos de windows:
hkey_local_machine \software\microsoft\windows nt \currentversion\winlogon
sfcdisable =ffffff9d
hkey_local_machine \software\microsoft\windows nt \currentversion\winlogon
sfcscan =0
hkey_local_machine \software\microsoft\windows nt \currentversion\winlogon
system =
seguidamente crea entradas en el registro como marca de su infecci?n.
hkey_current_user \software
ver =[ datos_troyano]
hkey_current_user \software\microsoft
vs=[ datos_troyano]
elimina todos los valores que encuentre en las siguientes entradas del registro
hkey_local_machine \software\microsoft\windows\currentversion\run hkey_local_machine \software\microsoft\windows\explorer\browser helper objects modifica los siguientes archivos .dll y realiza una copia de resguardo en la carpeta windows \dllcache, de esta manera deshabilita la protecci?n de archivos de windows.
system \sfc_os.dll system \sfc.dll cerrar? todas las ventanas que tengan los siguientes textos en la barra de t?tulos
norton personal firewall create rule for s un processus cache requiert une connexion reseau. ne plus afficher cette invite un proceso oculto solicita acceso a la red aceptar warning: components have changed &make changed component shared hidden process requests network access ein versteckter prozess verlangt netzwerkzugriff. permissiondlg &remember this answer the next time i use this program. &yes windows security alert allow all activities for this application kerio personal firewall alert create a rule for this communication and dont ask me again. seguidamente intentar? finalizar los siguientes procesos
winldra.exe netscape.exe opera.exe firefox.exe mozilla.exe m00.exe wintbpx.exe swchost.exe svohost.exe svc.exe winsock.exe spools.exe kernels32.exe mwfibpx.exe nod32kui.exe mcupdate.exe mw1hel~1.exe realsched.exe tbon.exe pucxyloo.exe mouse32a.exe winupdates.exe backweb- qttask.exe mediagateway.exe sox1.exe shstat.exe spyaxe.exe xcommsvr.exe rwnt.exe shost.exe mouseelf.exe aimexdll.exe batserv2.exe elogerr.exe sysc.exe stopads.exe istsvc.exe uwfx5.exe dazzler.exe secure.exe spoolsrv32.exe ibm00001.exe kernels64.exe driver64.exe paytime.exe type32.exe mediapipe.exe adduz32.exe itbill.exe spysheriff.exe apifl.exe drsmartloadb.exe gcasserv.exe mpp2pl.exe unspypc.exe realsched.exe isstart.exe logitray.exe winstall.exe statusclient.exe mpcsvc.exe backorif.exe nopez.exe usrprmpt.exe netnw.exe hpbpsttp.exe nvarem.exe apifl.exe unspypc.exe busca los siguientes textos en ventanas del navegador web y roba informaci?n de cuentas de bancos
deutsche-bank.de diba.de 1822direkt.com .haspa.de .sparkasse- mbs-potsdam.de .homebanking- .bankingportal. dresdner-privat.de .gad.de citibank.de .portal-banking.de vr-ebanking.de vr-networld-ebanking.de cc-bank.de commerzbanking.de lacaixa.es postbank.de cajamurcia.es caja-granada.es cajastur.es ebankinter.com axabanque.fr/client/sauthentification cahoot egg if.com smile first nation abbey natwest citi barclay allianc bank hsbc lloyd nwolb online hali npbs marbles trade rbs. caja caixa e-gold.com lacaixa.es viabcp.com banesto.es openbank.es cajacanarias.es caixatarragona.es payee_account bancaonline. openplan.co.uk finalmente realizar? las siguientes acciones:
1.- deshabilitar los siguientes programas:
c:\progra~1\mcafee.com\person~1\mpfagent.exe c:\progra~1\mcafee.com\person~1\mpftray.exe 2.- robar la siguiente informaci?n y la guarda en el archivo h323.txt dentro de la carpeta system
nombre de usuario pop3. contrase?as de autocompletar en el internet explorer. cuentas de autentificaci?n del msn. urls visitadas pulsaciones de teclado 3.- toda la informaci?n capturada es enviada a sitios remotos,
http://pipiski.info/ http://knizhki.net/ http://realepay.net/ 4.- la informaci?n obtenida es la siguiente
nombre de usuario. n?mero de puerto tcp abierto. tipo de conexi?n (modem o lan) 5.- intenta descargar y ejecutar el siguiente archivo remoto
temp \tml_ [ caracteres aleatorios] .exe