| Nombre común: FWDisabler.A
Nombre técnico: Trj/FWDisabler.A
Peligrosidad: Media
Tipo: Troyano
Efectos: Está diseñado para obtener las contraseñas del usuario relacionadas con el servicio Webmoney. Deshabilita la utilidad de Restaurar sistema y las actualizaciones automáticas de Windows. No se propaga automáticamente por sus propios medios.
Plataformas que infecta: Windows 2003/XP/2000/NT/ME/98/95
Fecha de detección: 24/12/2008
Detección actualizada: 26/12/2008
Estadísticas No
Descripción Breve
FWDisabler.A es un troyano que está diseñado para obtener las contraseñas almacenadas en el ordenador relacionadas con el servicio Webmoney.
FWDisabler.A deshabilita la opción restaurar sistema para devolver el equipo a un estado de funcionamiento anterior, y las actualizaciones automáticas de Windows.
FWDisabler.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación.
Efectos
FWDisabler.A realiza las siguientes acciones:
Está diseñado para obtener las contraseñas almacenadas en el ordenador relacionadas con el servicio WebMoney, que es un sistema de pago por Internet.
Deshabilita la utilidad Restauración de sistema, que sirve para devolver el equipo a un estado de funcionamiento anterior. Puede resultar muy útil para deshacer los cambios en el sistema y volver a un punto en el que el ordenador funcionaba correctamente.
Deshabilita las actualizaciones automáticas de Windows. De esta manera, las actualizaciones de Windows no se instalarían automáticamente en el sistema.
Metodo de Infección
FWDisabler.A está diseñado para renombrar los siguientes archivos:
SYRMGR.EXE
SYSMGR.EXE
MSVCRT2.DLL
to
SYRMGR.BKO
SYSMGR.BKO
MSVCRT2.BKO
FWDisabler.A crea las siguientes entradas en el Registro de Windows:
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
DisableSR = 1
HKEY_LOCAL_MACHINE Software\Microsoft\Windows NT\CurrentVersion\SystemRestore
DisableSR = 1
Deshabilita la opción de restauración del sistema.
FWDisabler.A crea o modifica las siguientes entradas del Registro de Windows:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\windowsupdate\auto Update
AUOptions = 1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\windowsupdate\auto Update
AUState = 7
Deshabilita las actualizaciones automáticas de Windows.
Método de Propagación
FWDisabler.A no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.
Otros Detalles
FWDisabler.A tiene un tamaño de 10694 Bytes.
|
|