El terror de Halloween llega a la red : W32/Routrobot.worm! alias Win32.Worm.Prolaco

Publicado el 25 octubre 2010 ¬ 15:19 pmh.mscComentarios desactivados en El terror de Halloween llega a la red : W32/Routrobot.worm! alias Win32.Worm.Prolaco

La noche de Halloween se acerca y con su llegada, virus y troyanos están más enérgicos que nunca. El gusano Win32.Worm.Prolaco sería uno de estos parásitos virtuales que aprovecharía la cercanía de Halloween para robar a los usuarios datos confidenciales, como números de cuenta, contraseñas bancarias o de correo.

El gusano se ocultaría en una tarjeta de felicitación de esta fiesta, que recibiríamos a través del correo electrónico. De este modo, al abrirla nuestro equipo quedaría infectado, convirtiendo nuestro ordenador personal en un zombi. Prolaco, por tanto, abriría una puerta trasera en el equipo para recibir órdenes de su creador.

Este gusano también puede robar las cookies, conectarse a servidores FTP, cargar los datos en los servidores de FTP, cambiar la configuración de servicios o monitorizar el puerto USB para propagarse con mayor facilidad. Desde MuyInternet os recomendamos que miréis con lupa adjuntos y correos y que no dejéis de tener instalado y actualizado algún antivirus, especialmente en estos días. Escrito por Arantxa Asián 
Fuente

Comentarios:

todos de propagación:
   • Correo electrónico
   • Peer to Peer
Se copia a sí mismo en la siguiente ubicación:
   • %SYSDIR%\AdobeRAM.exe
– Ejecuta uno de los ficheros siguientes:
   • “%SYSDIR%\adoberead9.exe”
– Ejecuta uno de los ficheros siguientes:
   • “%HOME%\Application Data\SystemProc\lsass.exe”
Añade las siguientes claves del registro para ejecutar los procesos al iniciar el sistema:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • “Adobe Reader Updater5″=”%SYSDIR%\AdobeRAM.exe”
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\
   Run]
   • “RTHDBPL”=”%HOME%\Application Data\SystemProc\lsass.exe”

McAfee lo controla como W32/Routrobot.worm!4AF754BE1F9A  : http://vil.nai.com/vil/content/v_274408.htm

Tamaño: 439.808 Bytes
MD5: 4af754be1f9a59704d14fc933a831480

De entrada se puede detectar con el ELIMD5 entrando la linea anterior con un copiar y pegar. Con ello se eliminará de la circulacion y se copiará en C:\muestras, desde donde poder enviarnoslo para analizar. En cuanto recibamos muestra del mismo, implementaremos su control y eliminación en nuestras utilidades, de lo cual informaremos.

saludos

ms, 25-10-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Virus, , , , ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies