Este troyano intenta robar contrasenas de la computadora infectada, las que son enviadas luego al autor.
Nombre: Troj/PWS.Ldpinch.DN
Tipo: Caballo de Troya robador de contrasenas
Alias: Win32/PSW.LdPinch.DN, Trj/Ldpinch.W, Ldpinch.W, Troj/LdPinch.DN
Fecha: 20/may/04
Plataforma: Windows 32-bit
Cuando se ejecuta, se copia en el directorio de Windows:
c:windowssystem
sv32.exe
NOTA: "c:windowssystem" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:winntsystem32" en Windows NT y 2000 y "c:windowssystem32" en Windows XP y Windows Server 2003).
Agrega las siguientes entradas en el registro, la primera para autoejecutarse en cada reinicio, la segunda para almacenar sus propios datos:
HKLMSoftwareMicrosoftWindowsCurrentversionRun
NvClipRsv = c:windowssystem
sv32.exe
HKCUSoftwareIntel
Data = [datos]
El troyano monitorea y captura la siguiente informacion:
- Todo lo escrito por el teclado.
- Informacion del sistema.
- Datos de las cuentas de correo del usuario infectado.
- Contrasenas de algunos programas.
Esta informacion es enviada por correo electronico al autor del troyano.
No posee rutinas de propagacion, y suele distribuirse manualmente, generalmente bajo la premisa de que es una inocente utilidad. Los canales de distribucion mas usados son el correo electronico, listas de noticias (newsgroups), canales de IRC, y redes P2P como KaZaa y otros.
La version reportada el 20 de mayo, se propago en un mensaje enviado como spam, con las siguientes caracteristicas:
De: [direccion de correo falsa]
Asunto: Important news about our soldiers in IRAQ!!!
Para: [direccion de correo al azar]
Texto:
Seven officers was lost today,
follow the link to get the full story.
http://www.iraqbodycount.net/bodycount.htm
Datos adjuntos: IMPORTANT INFORMATION.ZIP
El sitio que muestra el enlace, no esta relacionado con el troyano, ni posee codigo maligno alguno.
Si el adjunto es abierto y ejecutado, se instala el troyano en el sistema.
Mas informacion:
Troyano en mensaje sobre el conflicto en IRAK
http://www.vsantivirus.com/ev-20-05-04.htm
Reparacion manual
Antivirus
1. Actualice sus antivirus con las ultimas definiciones
2. Ejecutelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
Nota: algunas de las ramas en el registro aqui mencionadas, pueden no estar
presentes ya que ello depende de que version de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
SOFTWARE
Microsoft
Windows
CurrentVersion
Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
NvClipRsv
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
Software
Intel
5. Pinche en la carpeta "Winlogon" y en el panel de la derecha, bajo la columna "Nombre", busque y borre las entradas que aparezcan de esta lista:
Data
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
|
