| Trojan/Spy.Bancos.aam |
|
| Nombre: |
Trojan/Spy.Bancos.aam Alias: Win32/Spy.Bancos.AAM, Trojan.Win32.Spy.Bancos.AAM, Trj/Wsnpoem.CN, PSW.Banker3.OQS, Win32:Agent-HZU, TR/Proxy.Agent.AZH, Trojan.Proxy.Agent.AZH, Win-Trojan/Bancos.40960.D, TrojanSpy.Bancos.aam, Trojan.Bancos-4759, Trojan.Proxy.1824, Logger.Bancos.aam, PWS-Banker.gen.bw, Infostealer.Banker.C, TrojanSpy.Bancos.CFK |
| Tipo: | Troyano |
| Tamaño: | 145,920 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1 al 17/06/2007. |
Descripción:
Trojan/Spy.Bancos.aam, es un troyano que captura información que el usuario ingresa en determinadas páginas Web, para luego enviarlas a su creador.
Cuando el troyano se ejecuta crea el siguiente archivo:
También crea la siguiente subcarpeta y copia dentro sus componentes, el troyano une los archivos .dll a los procesos del Winlogon, de esta manera se ejecutan en cada inicio del sistema:
Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32).
Finalmente modifica las siguientes entradas en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Userinit"="%system%\ntos.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Userinit"="%system%\userinit.exe, %system%\ntos.exe"
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú