| |
VSantivirus No. 2028 Año 10, viernes 27 de enero de 2006
TrojanDownloader.Tivso.G. Descarga al gusano Mocalo
http://www.vsantivirus.com/trojandownloader-tivso-g.htm
Nombre: TrojanDownloader.Tivso.G
Nombre NOD32: JS/TrojanDownloader.Tivso.G
Tipo: Caballo de Troya
Alias: Tivso.G, JS/Feeb, JS/Feebs.gen.c@MM,
JS/TrojanDownloader.Tivso.G, Win32.HLLM.Graz, Worm.Win32.Feebs.gen, Worm/Feebs
Fecha: 23/ene/06
Plataforma: Windows 32-bit
Tamaño: 3 KB
Se trata de un caballo de Troya en JavaScript, del tipo downloader (descargador de archivos), embebido en un archivo HTML con extensión HTA.
Se envía como adjunto en forma de spam masivo, o es propagado por el Win32/Mocalo, vía correo electrónico.
El código en JavaScript descarga de Internet el componente principal de otras variantes del gusano. También puede encontrarse como página HTML en ciertos sitios maliciosos.
El archivo descargado de Internet, es almacenado con alguno de los siguientes nombres:
c:\command.exe
c:\recycled\userinit.exe
NOTA: No confundir con C:\COMMAND.COM
Este componente, intentará eliminar las siguientes entradas del registro:
HKLM\SYSTEM\CurrentControlSet\Services\FirePM
HKLM\SYSTEM\CurrentControlSet\Services\KmxFile
HKLM\SYSTEM\CurrentControlSet\Services\pcipim
HKLM\SYSTEM\CurrentControlSet\Services\pcIPPsC
HKLM\SYSTEM\CurrentControlSet\Services\RapDrv
Puede crear además, la siguiente entrada en el registro, para autoejecutarse en cada reinicio de Windows:
HKLM\SOFTWARE\Microsoft
\Active Setup\Installed Components
\{CD5AC91B-AE7B-E83A-0C4C-E616075972F3}
Stubpath = "[nombre del ejecutable]"
Más información e instrucciones de limpieza:
Mocalo. Utiliza e-mail y P2P, deshabilita firewall
http://www.vsantivirus.com/mocalo.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
