|
Troyano Viking.NAE infecta archivos ejecutables
|
| Imprimir |
|
 | Viking.NAE prolifera por recursos compartidos en redes y una vez instalado, trata de infectar ficheros ejecutables. Busca alterar las configuraciones de seguridad de Windows para descargar y ejecutar más códigos maliciosos sin que las protecciones del SO eviten este proceso. |
| Viking.NAE envía paquetes de Protocolo de mensajes de control de Internet a direcciones IP de una posible red local (192.168.0.30 y 192.168.8.1). Estos paquetes ICMP permiten generar mensajes de error, otrs paquetes para prueba y mensajes informativos relacionados con IP utilizado para comprobar la existencia del equipo consultado. |
En la primera ejecución del troyano, los siguientes archivos son creados en la carpeta de Windows:
RUNDL132.EXE (Este archivo se hace pasar por el verdadero RUNDLL32.EXE de Windows alterando levemente su nombre. Se inyecta al IEXPLORE.EXE o EXPLORER.EXE cuando es ejecutado por primera vez)vDll.dll (archivo creado en la carpeta donde es ejecutado por primera vez el Viking.NAE)
Puede crear la siguiente llave de registro como marca de infección:
HKLM\SOFTWARE\Soft\DownloadWWWauto = "1"
Para conseguir iniciarse junto con cada reinicio de Windows, genera la siguiente entrada:
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windowsload = "c:\windows\rundl132.exe"
Los elementos maliciosos que buscará descargar de determinados sitios, son:
mx.exe
mx.txt
wow.exe
wow.txt
zt.exe
zt.txt
Viking.NAE omite la búsqueda en varias carpetas, por lo que el contenido de las mismas no se verá afectado por sus acciones:
Common Files
ComPlus Applications
Documents and Settings
InstallShield Installation Information
Internet Explorer
Messenger
Microsoft Frontpage
Microsoft Office
Movie Maker
MSN
MSN Gamin Zone
NetMeeting
Outlook Express
Program Files
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
Winnt
Más Información:
|
Noticias 
