| Trojan/Haxdoor.JG |
|
| Nombre: |
Trojan/Haxdoor.JG Alias: BKDR_HAXDOOR.JG |
| Tipo: | Troyano |
| Tamaño: | 49,204 Bytes (.dll); 20,784 Bytes (.sys) |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.0 al 06/10/2006. |
Descripción:
Trojan/Haxdoor.JG, es un troyano que abre puertos aleatorios y permite a un atacante remoto establecer comunicación con el computador atacado.
Cuando el troyano se ejecuta se copia a sí mismo con todos sus componentes en la siguiente ubicación:
Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej.
C:\WINDOWS\SYSTEM,
C:\WINNT\SYSTEM32)
Además crea las siguientes entradas para registrarse como un servicio de inicio automático, de esta forma puede ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\yvbb01
"DllName"="yvbb01.dll"
Seguidamente crea entradas en el registro para registrarse como un servicio:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yvbb02
"ImagePath"="\??\%System%\yvbb02.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yvbb02
"DisplayName"="Miniport FT"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yvbb01
"ImagePath"="\??\%System%\yvbb01.sys"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yvbb01
"DisplayName"="Miniport FT32"
También crea las siguientes entradas en el registro para poder ejecutarse en el MODO SEGURO en sistemas con Windows 2000/XP:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yvbb02.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\yvbb02.sys
Finalmente el troyano realiza las siguientes acciones:
Derechos reservados 1992/2006 HackSoft S.R.L. Lima-Perú