Trojan\Nssearch
Imprimir descripción de Virus
Nombre: Trojan\Nssearch
Alias: Trojan.Nssearch
Tipo: Troyano
Tamaño: 45,867 bytes
Origen: Internet
Destructivo: NO
En la calle  (in the wild): SI
Detección y eliminación: The Hacker 6.2 al 23/10/2007.

Descripción:

Trojan\Nssearch, troyano que al ejecutarse se copia a sí mismo en la siguientes ubicaciones:

  • C:\wsusupd.exe
  • %windir%\system32\SFList.txt

Nota:

- %windir% representa la carpeta de Windows (Ej. C:\WINDOWS, C:\WINNT).

 

El troyano crea las siguientes entradas de registro para lograr ejecutarse en cada inicio de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"ShareSearcher" = "C:\wsusupd.exe"

 

También crea las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
"UID" = "[20 CARACTERES  ASCII AL AZAR]"
"NVS" = "1"
"LSpc" = "[NOMBRE DE CARPETA COMPARTIDA EN RED]"

El troyano se conecta a la carpeta compartida en red con la cuenta de Administrador.

Luego el troyano busca archivos que contengan la siguiente data en las carpetas compartidas en red y en la Pc:

  • DB3D30373132313031 (.=0712101)
  • 5E30373132313031 (^0712101)

El troyano no toma en cuenta archivos con las siguientes extensiones:

  • .asp
  • .aspx
  • .avi
  • .bmp
  • .cab
  • .cgi
  • .chm
  • .dll
  • .dmp
  • .dwg
  • .exe
  • .gho
  • .ghs
  • .gif
  • .gm
  • .gz
  • .htm
  • .html
  • .iso
  • .jar
  • .jpg
  • .lnk
  • .mid
  • .midi
  • .mov
  • .mp1
  • .mp2
  • .mp3
  • .mpeg
  • .mpg
  • .msi
  • .pdf
  • .php
  • .pl
  • .png
  • .psd
  • .rar
  • .snd
  • .swf
  • .tar
  • .tgz
  • .tiff
  • .vbs
  • .wav
  • .wma
  • .zip

Finalmente el troyano envía los archivos obtenidos a la siguiente dirección web:

  • ftp://duhast1.firstvds.ru

Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú