Trojan/QQRob.gi

Trojan/QQRob.gi

Nombre:	Trojan/QQRob.gi Alias: Trojan-PSW.Win32.QQRob.gi, PWS-QQRob, TSPY_QQROB.APS, Troj/QQRob-ADE
Tipo:	Troyano
Tamaño:	Variable
Origen:	Internet
Destructivo:	SI
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.1 al 01/05/2007

Descripción:

Trojan/QQRob.gi, es un troyano residente en memoria, roba información del computador atacado e intenta comunicarse con un servidor remoto vía HTTP.

Cuando el troyano se ejecuta se copia a si mismo con todos sus componentes dentro de:

%system%\NetSystem.exe
%system%\NetSystem.dll
%system%\delmeexe.bat

Además crea una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetSystem
"ImagePath"="%system%\NetSystem.exe"

También modifica las siguientes entradas:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetSystem
"DisplayName"="Network System"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetSystem
"Start"="2"

Seguidamente intentará establecer comunicación con el servidor remoto vía HTTP. Si logra conectarse puede llegar a realizar las siguientes acciones:

Enviar información como contraseñas del computador atacado.
Descargar y ejecutar archivos.
Actualizar el archivo del troyano.
Captura pulsaciones del teclado