| Nombre común: Peregar.C
Nombre técnico: Trj/Peregar.C
Peligrosidad: Media
Tipo: Troyano
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 31/05/2008
Detección actualizada: 31/05/2008
Estadísticas Si
Protección proactiva: Sí, mediante las Tecnologías TruPrevent
Descripción Breve
Peregar.C es un troyano que, llegando al ordenador bajo una apariencia inofensiva, permite en realidad llevar a cabo intrusiones y ataques.
Efectos
Peregar.C permite llevar a cabo intrusiones y ataques contra el ordenador afectado, como pueden ser captura de pantallas, recogida de datos personales, etc.
Metodo de Infección
Peregar.C crea los siguientes archivos:
SVCHOST.EXE, en la subcarpeta wbem del directorio de Windows.
WMIINIT.SYS y WPRNTDRV.SYS, en la subcarpeta drivers del directorio de sistema de Windows. Estos archivos corresponden a varios rootkits que este troyano utiliza para ocultar sus procesos y archivos.
COMPROVANTE.JPG, en la subcarpeta system del directorio de Windows. Este archivo corresponde a la imagen del recibo que muestra cuando es ejecutado.
Peregar.C crea las siguientes entradas en el Registro de Windows:
HKEY_USERS\.DEFAULT\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
HKEY_USERS\ S-1-5-18\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
HKEY_USERS\ S-1-5-19\ Software\ Classes\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
HKEY_USERS\ S-1-5-19\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
HKEY_USERS\ S-1-5-19_Classes\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
HKEY_USERS\ S-1-5-20\ Software\ Classes\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
HKEY_USERS\ S-1-5-20\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
HKEY_USERS\ S-1-5-20_Classes\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
HKEY_USERS\ S-1-5-21-583907252-1993962763-854245398-500_Classes\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
HKEY_CURRENT_USER\ Software\ Classes\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
HKEY_CLASSES_ROOT\ Software\ Microsoft\ Internet Explorer\ Main
FormSuggest Passwords = no
Mediante estas entradas, Peregar.C habilita la opción de guardar las contraseñas en el navegador de Internet Explorer.
Además, Peregar.C crea la ruta HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ WmiStartup con las entradas necesarias para registrarse como un servicio denominado WmiStartup y así conseguir ejecutarse cada vez que Windows se inicia.
Método de Propagación
Peregar.C no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
Peregar.C tiene un tamaño de 296,960 Bytes y está comprimido en UPX v1.9.
|
|
