| Nombre común: YahooPsw.S
Nombre técnico: Trj/YahooPsw.S
Peligrosidad: Baja
Tipo: Troyano
Efectos: Está diseñado para robar las contraseñas de acceso del usuario al Yahoo Messenger. Una vez conseguidas, envía la información a través de correo electrónico. Llega al ordenador en un archivo que tiene el icono de un código de barras.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 18/10/2008
Detección actualizada: 21/10/2008
Estadísticas No
Descripción Breve
YahooPsw.S es un troyano que está diseñado para robar las contraseñas de acceso del usuario al Yahoo Messenger. Para ello, registra las pulsaciones de teclado, los movimientos del ratón y realiza capturas de pantalla.
Después, envía la información que ha recopilado a su autor a través de correo electrónico.
YahooPsw.S no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación.
Efectos
YahooPsw.S está diseñado para robar las contraseñas de acceso al Yahoo Messenger del usuario.
Para ello, realiza las siguientes acciones:
Registra las pulsaciones de teclado introducidas por el usuario.
Realiza capturas de pantalla.
Guarda los movimientos realizados con el ratón.
Una vez que ha obtenido la información, la envía a ciertas direcciones de correo electrónico para ponerla a disposición de su creador.
Metodo de Infección
YahooPsw.S crea los siguientes archivos en el directorio de sistema de Windows:
RUNDLLL32.EXE, que es una copia de sí mismo.
MOUSE.TXT, que e sun archivo de texto en el que almacena la información relacionada con la actividad del ratón.
SET.BAT
YahooPsw.S crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
DATA = rundlll32.exe -1
Mediante esta entrada, YahooPsw.S consigue ejecutarse cada vez que Windows se inicia.
HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ ShellNoRoam\ MUICache
%sysdir%\set.bat = set
donde %sysdir% es el directorio de sistema de Windows.
Método de Propagación
YahooPsw.S llega al ordenador en un archivo con el icono de un código de barras:
Sin embargo, YahooPsw.S no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
YahooPsw.S está escrito en el lenguaje de programación Visual C++. Este troyano tiene un tamaño de 80000 Bytes.
|
|