| Trojan/Voterai |
|
| Nombre: |
Trojan/Voterai Alias: Trojan.Voterai |
| Tipo: | Troyano |
| Tamaño: | 100,014 bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.2 al 28/11/2007. |
Descripción:
Trojan/Voterai, troyano que al ejecutarse crea los siguientes archivos:
Nota:
- %windir% representa la carpeta de Windows (Ej. C:\WINDOWS, C:\WINNT).
- %allusersprofile% representa la carpeta de configuración general de todos los usuarios (Ej. C:\DOCUMENTS AND SETTINGS\ALL USERS).
El troyano modifica las siguientes entradas de registro para lograr ejecutarse:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\
"AlternateShell" = "%WINDIR%\installer\SMSS.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\AeDebug
"Debugger" =
"%WINDIR%\SYSTEM32\dllcache\smss.exe"
"Auto" = "1"
También modifica las siguientes entradas de registro logrando ocultarse del explorador de Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoFolderOptions" = "1"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
"NoFolderOptions" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = "1"
"ShowSuperHidden" = "1"
"HideFileExt" = "1"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState
"FullPathAddress" = "1"
Luego el troyano elimina las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"AVP"
"nod32kui"
"ShStatEXE"
"McAfeeUpdaterUI"
Además el troyano elimina los archivos que contengan alguna de las siguientes grases:
Finalmente el troyano finaliza los procesos que contengan alguna de las siguientes grases:
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú