Trojan/Haxdoor.AU

Descripción:

Trojan/Haxdoor.AU, es un troyano que abre puertos aleatorios y permite a un atacante remoto establecer comunicación con el computador atacado.

Cuando el troyano se ejecuta se copia a sí mismo con todos sus componentes en la siguiente ubicación:

• %system%\ydsvgd.dll
• %system%\ydsvgd.sys
• %system%\ycsvgd.sys
• %system%\qo.dll
• %system%\qo.sys

Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Además crea las siguientes entradas en el registro para registrarse como un servicio:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ycsvgd

"ImagePath"="%system%\ycsvgd.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ycsvgd

"DisplayName"="PTA Adapter"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ydsvgd

"ImagePath"="%system%\ycsvgd.sys"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Ydsvgd

"DisplayName"="PTA Adapter32"

También crea las siguientes entradas en el registro para poder ejecutarse en el MODO SEGURO en sistemas con Windows 2000/XP:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ycsvgd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ycsvgd.sys

Seguidamente une su componente .DLL con los procesos del "EXPLORER.EXE", además utiliza técnicas rootkit para ocultar sus archivos y procesos.

Finalmente el troyano realiza las siguientes acciones:

• Roba información del sistema atacado.
• Descarga y ejecuta archivos.
• Captura pulsaciones del teclado.
• Verifica si la aplicación Webmoney esta instalada en el computador.
• Roba contraseñas del Messenger Miranda.
• Roba contraseñas ICQ.

Derechos reservados 1992/2006 HackSoft S.R.L. Lima-Perú