|
Troyano Lewor.NAM se propaga vía P2P
|
| Imprimir |
|
 | Este troyano es insertado por diversas páginas malignas y es muy común encontrarlo en redes de intercambio de programas P2P. Descargarlo descuidadamente desde un correo indeseado también es una posibilidad, ya que los malware que no se propagan por sí mismo, requieren de un usuario que los envíe |
masivamente como spam.
| Entre sus operaciones, el Lewor.NAM busca descargar otros códigos maliciosos desde distintos sitios a los que intenta conectarse, mientras que pretende cambiar la página de inicio del explorador por un sitio determinado en su código. Además, desactiva el Administrador de tareas e imposibilita al usuario cambiar la nueva página de inicio generando algunas llaves en el registro: |
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableTaskMgr = 1
HKCU\Software\Policies\Internet Explorer\ControlPanel
HomePage = 1
En su primera ejecución, los siguientes archivos son generados en la carpeta de Windows:
\svohost.exe
\commamd.exe
\lsasa.exe
Es importante señalar que los ficheros creados por Lewor.NAM tienen nombre muy semejantes a archivos legítimos de Windows, varían en uno o dos caracteres. Esto no debe ser pasado por alto cuando se eliminen los elementos del trojan, ya que si se confunden con los legítimos, podríamos estar eliminando componentes importantes del sistema.
Modifica entradas en el registro para reiniciar sus operaciones junto con Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
ctfnom.exe = "c:\windows\svohost.exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe commamd.exe"
Modifica esta entrada en el registro para reiniciar sus operaciones cuando el usuario abra un .txt:
HKCR\txtfile\shell\open\command
(Predeterminado) = "c:\windows\system\lsasa.exe "%1""
Noticias Relacionadas:
|
Noticias 
