| Trojan/Yabe.AT |
|
| Nombre: |
Trojan/Yabe.AT Alias: TROJ_YABE.AT, Trojan-Downloader.Win32.Small.efe |
| Tipo: | Troyano |
| Tamaño: | 26,112 Bytes |
| Origen: | Internet |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 6.1 al 23/01/2007. |
Descripción
Trojan/Yabe.AT, es un troyano que se difunde vía mensajes de E-mail, llega como un mensaje del tipo Spam y con un archivo adjunto de nombre "RechnungGEZ.pdf.exe", después de su ejecución intentará descargar archivos maliciosos desde determinados sitios Web.
Cuando el troyano se ejecuta se copia a si mismo dentro de:
Nota:
- %system% representa la carpeta "system" dentro de Windows (Ej.
C:\WINDOWS\SYSTEM,
C:\WINNT\SYSTEM32)
Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersión\Run
"Ipcbt"="%system%\ipcbt.exe"
También crea las siguientes entradas en el registro como parte de su rutina de instalación:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\"zwq"="1"
El troyano utiliza el icono del Acrobat Reader para intentar engañar al usuario de que se trata de un archivo legitimo, al ejecutar el archivo se visualiza el siguiente mensaje:
GEZ_Rechnung.pdf
Acrobat 6 - Error "Warning" 20225
[ OK ]
Finalmente el troyano queda a la espera de una conexión a Internet para intentar acceder a determinados sitios Web y descargar un archivo de .txt, el cual contiene un enlace encriptado, que al ser desencriptado apunta a un determinado sitio Web para intentar descargar un archivo "temp.exe", dicho archivo es detectado y eliminado por The Hacker.
Derechos reservados 1992/2007 HackSoft S.R.L. Lima-Perú