Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

TrojanDownloader.Tivso.O. Descarga al gusano Mocalo
 
VSantivirus No. 2063 Año 10, viernes 3 de marzo de 2006

TrojanDownloader.Tivso.O. Descarga al gusano Mocalo
http://www.vsantivirus.com/trojandownloader-tivso-o.htm

Nombre: TrojanDownloader.Tivso.O
Nombre NOD32: JS/TrojanDownloader.Tivso.O
Tipo: Caballo de Troya
Alias: Tivso.O, HTML/Feebs.Gen, JS.Feebs.Gen, JS.Feebs.T, JS/Feeb, JS/Feebs.fam-mm, JS/Feebs.gen.e@MM, JS/Feebs.gen3@MM, JS/Ider.A.worm, JS/TrojanDownloader.Tivso.O, JS:Feebs, W32.Feebs, W32/Feebs-Fam, Win32.HLLM.Graz, Worm.Feebs.cs, Worm.Win32.Feebs.CS, Worm.Win32.Feebs.cs, Worm/Feebs
Fecha: 1/mar/06
Plataforma: Windows 32-bit
Tamaño: 3,080 bytes

Se trata de un caballo de Troya en JavaScript, del tipo downloader (descargador de archivos), embebido en un archivo HTML con extensión HTA.

Se envía como adjunto en forma de spam masivo, o es propagado por el Win32/Mocalo, vía correo electrónico.

El código en JavaScript descarga de Internet el componente principal de otras variantes del gusano. También puede encontrarse como página HTML en ciertos sitios maliciosos.

El archivo descargado de Internet, es almacenado con alguno de los siguientes nombres:

c:\command.exe
c:\recycled\userinit.exe

NOTA: No confundir con C:\COMMAND.COM

Este componente, intentará eliminar las siguientes entradas del registro:

HKLM\SYSTEM\CurrentControlSet\Services\FirePM
HKLM\SYSTEM\CurrentControlSet\Services\KmxFile
HKLM\SYSTEM\CurrentControlSet\Services\pcipim
HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC
HKLM\SYSTEM\CurrentControlSet\Services\RapDrv

Puede crear además, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft
\Active Setup\Installed Components
\{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}
Stubpath = "[nombre del ejecutable]"


Más información e instrucciones de limpieza:

Mocalo. Utiliza e-mail y P2P, deshabilita firewall
http://www.vsantivirus.com/mocalo.htm






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS