TROJ_STARTPA.ZH
Windows 2000, XP, Server 2003
Tipo de malware
Trojan
Destructivo?
No
Cifrado
No
In the Wild:
Sí
Resumen y descripción
Cambia la página de inicio de Internet Explorer del usuario a un determinado sitio Web. Esta acción permite que el malware dirija a un sitio Web que contiene malware y aumente el riesgo de infección de malware del equipo afectado.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %Windows%\nvsvc32.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Terminal Server\
Install\Software\Microsoft\
Windows\CurrentVersion\Run
NVIDIA driver monitor = "%Windows%\nvsvc32.exe"
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
{malware path and file name} = "%Windows%\nvsvc32.exe:*:Enabled:NVIDIA driver monitor"
Modificación de la página de inicio y de la página de búsqueda del explorador Web
Cambia la página de inicio de Internet Explorer del usuario a los siguientes sitios Web:
- http://{BLOCKED}turls.info
Otros detalles
Este malware define los atributos del/de los siguiente(s) archivo(s) como Oculto y Sistema:
- {malware path and file name}
- %Windows%\nvsvc32.exe
(Nota: %Windows% es la carpeta de Windows, que suele estar en C:\Windows o C:\WINNT).
)