Trojan/VB.ft

Trojan/VB.ft

Nombre:	Trojan/VB.ft Alias: Trojan-Downloader.Win32.VB.ft, Troj/Abox-J
Tipo:	Troyano Downloader
Tamaño:	Variable
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.1 al 09/02/2007.

Descripción:

Trojan/VB.ft, es un troyano del tipo downloader, se comunica vía HTTP y FTP con servidores remotos y descarga troyanos en el computador atacado.

El troyano crea un script FTP en un archivo que se encuentra dentro de la carpeta temporal de Windows, al ejecutarse dicho script intenta descargar los siguientes archivos dentro de la carpeta de Windows.

%windows%\winmsgr.exe
%windows%\dispatcher.exe
%windows%\Router.exe
%windows%\mswinsck.ocx
%windows%\vbsendmail.dll
%windows%\ABox.bup

Nota:

- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)

Además crea las siguientes entradas en el registro para poder ejecutarse en cada reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"WinMsg"="%windows%\winmsgr.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Dispatcher"="%windows%\dispatcher.exe"

Finalmente el troyano intentara comunicarse con un servidor remoto vía HTTP y FTP.