Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/PSW.Gip. Roba información de su PC
 
VSantivirus No. 502 - Año 6 - Jueves 22 de noviembre de 2001

Nombre: Troj/PSW.Gip
Tipo: Troyano robador de contraseñas
Alias: Trojan.PSW.GIP, Gip
Fecha: 21/nov/01

Cuando se ejecuta este troyano, primero se copia a si mismo a los directorios de Windows, Windows\System, Windows\TEMP o RECYCLED (la carpeta de la papelera de reciclaje).

Ejemplo (el nombre del troyano es irrelevante, puesto que puede ser cambiado por el cracker que lo envía):

C:\WINDOWS\SYSTEM\shel.exe

Luego, cambia el registro de Windows, para autoejecutarse en cada reinicio (alguna de estas opciones):

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Welcome = C:\WINDOWS\SYSTEM\shel.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices
Sevice = C:\WINDOWS\SYSTEM\shel.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Config = C:\WINDOWS\SYSTEM\shel.exe

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo. El nombre y el directorio donde se instala, está guardado en forma encriptada al final del propio código del troyano, y puede ser configurado por el atacante que lo envía.

Puede arribar a nuestra computadora en un mensaje (en forma premeditada, ya que no se propaga por si solo como los gusanos), o a través de la descarga desde un sitio Web malicioso.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

El troyano se registra a si mismo como un servicio por lo que queda oculto de la lista de tareas que se están ejecutando (no es visible al pulsar CTRL+ALT+SUPR).

Una vez activo, el troyano envía en forma periódica mensajes electrónicos a una dirección de correo configurable por el atacante.

El mensaje contiene información de la computadora (procesador, configuración de la pantalla, espacio libre en el disco, tamaño de la memoria, etc.), información de las conexiones de acceso a Internet y otro tipo de acceso o conexión (nombre, contraseñas), passwords guardados en el caché, UIN y contraseña del ICQ, etc.

El troyano puede descargar un archivo desde un sitio predeterminado de Internet, y luego modificar el registro para ejecutar dicho archivo (otro troyano) en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Welcome = TMP15F.EXE

Este troyano puede crear, modificar o borrar algunas claves del registro:

HKCU\Software\Microsoft\Windows
File1
File2
File3
Count

Date
LastError
ver

En forma opcional el troyano puede crear y ejecutar un señuelo, que puede ser cualquier tipo de programa, juego, etc., a los efectos de optimizar el engaño a su víctima. Todo ello es configurable por el atacante.

Para quitarlo de su sistema, primero ejecute un antivirus al día, apunte el nombre de los ejecutables que corresponden al troyano, y luego (usando Inicio, Ejecutar, REGEDIT), borre las entradas en el registro que correspondan a estos ejecutables.


Fuente: Kaspersky Labs

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2001 Video Soft BBS