|
Backdoor y rootkit en el troyano Looksky
|
| Imprimir |
|
 | Es un troyano recientemente surgido que integra funciones de rootkit y backdoor. Mientras que pasa desapercibido, inserta comandos aleatorios que le permiten a su desarrollador tomar el control del sistema atacado por el malware. |
| Puede permanecer en memoria mientrasel componente rootkit lo oculta de los antivirus tradicionales y del usuario. También es capaz de producir ataques DoS mediante direcciones IP que descarga desde la Web. Los DoS son denegaciones de servicio que dejan las operaciones de aplicaciones o incluso el mismo sistema operativo congelado. |
Crea algunos elementos cuando es ejecutado por primera vez:
%Windir%\sysvx_.exe
%System%\sysvx.exe
%System%\comdlg64.dll
Modifica entradas en el registro para reiniciar sus operaciones junto con Windows:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "sysvx" = "%[nombre variable dependiendo el SO instalado]%\sysvx_.exe"
Variable %Windir% para “C:\Windows” en Windows 95/98/Me/XP/Server 2003 y “C:\Winnt” en Windows NT\2000.
Variable %System% para “C:\Windows\System” en Windows 95/98/Me, “C:\Winnt\System32” en Windows NT/2000 y “C:\Windows\System32” en Windows XP y Windows Server 2003.
En su segunda ejecución, el Looksky genera la siguiente entrada para registrar uno de sus elementos principales en la lista de aplicaciones de Windows para acceder a las redes:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%System%\sysvx.exe" = "%System%\sysvx.exe:*:Enabled:enable"
Descarga direcciones de IP desde http: //www.5pro.us/synctl/whitevx.lst que luego almacena en %System%. Estas direcciones son utilizadas luego para generar ataques DoS.
Más Información:
|
Noticias 
