Trojan/Waytostr

Seguidamente crea la siguiente DLL que se registrará como "Layered Service Provider" (LSP) en Windows:

%userprofile%\Configuración local\Archivos temporales de Internet\mswsock.dll

Nota:

- %userprofile% representa la carpeta de configuración del Usuario (Ej. C:\DOCUMENTS AND SETTINGS\USUARIO).

Luego el troyano elimina el siguiente archivo:

%windir%\Downloaded Program Files\exe.exe

Nota:

- %windir% representa la carpeta de Windows (Ej. C:\WINDOWS, C:\WINNT).

A continuación el troyano crea las siguientes sub-llaves de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{12111111-1111-1111-1111-11111[7 RANDOM NUMBERS]}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WinSock2.3

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Winsock_Spi

Ya registrada la DLL inicia el proceso de interceptar las comunicaciones en la Red.

Luego, el troyano, se conecta a la siguiente dirección web para enviar información de la PC infectada:

- http:\\www.way2star.com

Seguidamente el troyano modifica la siguiente llave de registro de manera que el servicio LSP verdadero, y registrado, apunte al troyano.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\0000000000[del 01 al 13]
"PackedCatalogItem" = "[RUTA EN BINARIO DE DLL]"

Finalmente el troyano almacena el valor original de la llave de registro del LSP en la siguiente llave de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Winsock_Spi
"[4 NUMEROS]" = "[RUTA EN BINARIO DE LA DLL ORIGINAL]"

Nombre:	Trojan/Waytostr Alias: Trojan.Waytostr
Tipo:	Troyano
Tamaño:	277,696 bytes
Origen:	Internet
Destructivo:	NO
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 6.2 al 22/01/2008.

Trojan/Waytostr