W32/Alight14.B

W32/Alight14.B

Nombre:	W32/Alight14.B Alias: TROJ_ALIGHT14.B
Tipo:	Troyano
Tamaño:	21,228 bytes
Origen:	Internet
Destructivo:	SI
En la calle (in the wild):	SI
Detección y eliminación:	The Hacker 5.6 al 15/12/2003.

Descripción:

W32/Alight14.B, es un troyano residente en memoria, el cual esta compuesto por dos componentes, el troyano y el editor. Esta escrito en Delphi y comprimido con UPX.

El componente troyano, envía un mensaje a una cuenta de Yahoo cada vez que el usuario se conecte al Yahoo Messenger.
El componente Editor, genera y configura el componente troyano, permite al atacante especificar acciones para el componente troyano, estas podrían realizar lo siguiente:

Incluir la contraseña de Yahoo en el mensaje instantáneo.

Incluir el nombre del Sistema Operativo en el mensaje instantáneo.

Incluir la dirección IP en el mensaje instantáneo.

Deshabilitar el Administrador de Tareas en Windows XP/2000,

Deshabilitar la opción de guardar contraseña de Yahoo!

Deshabilitar el Editor del Registro. (Regedit)

Borrar un archivo de mensaje de Yahoo!

Indicar si el troyano crea una entrada en el registro para que se ejecute en cada reinicio del sistema.

Indicar si muestra un mensaje falso cuando se ejecute.

Identificar que el usuario de Yahoo recibe el mensaje instantáneo.

Usar por defecto el icono de imágenes JPEG, el de un programa, o ninguno.

Elegir un nombre para el archivo que genera.

El nombre puede ser uno de los siguientes:

Sender.exe

MyPic.jpg.scr

MyPic.jpg.exe

MyPic.jpg.pif

MyPic.bat

MyPic.cmd

MyPic.com

MyPic.exe

MyPic.scr

MyPic.pif

pif.pif

Telnet.cmd

Book.bat

Com.com

Love.exe

Smasher_7.exe

Yahoo_Cracker.exe

Boos.exe

Sex.exe

Porn.exe

baby.exe

Joke.exe

Hediye_tehrani.exe

Arian.exe

Anti_booter.exe

YTunnel_230.exe

Yahoo_booter.exe

Norton.exe

Titanic.exe

Googoosh.exe

Scooter.exe

Khafan.exe

Britney_Spears.exe

Girls_boys.exe

Servic_Pack.exe

WinXp_Patch.exe

Cuando el troyano se ejecuta se copia a si mismo dentro de:

%windows%\spoolsvr.exe

También copia el siguiente archivo en:

%system%\Flashplayer32.exe

Nota:
- %windows% representa la carpeta de instalación de Windows (Ej. C:\WINDOWS, C:\WINNT)
- %system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)

Además modifica una entrada en el registro para poder ejecutarse en el siguiente reinicio del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\{142A6800-3I18-11C0-821H-4M4GICH20010S}

"StubPath"="%system%\flashplayer32.exe"