TROJ_SEIMON

Ejecuta comandos desde un usuario remoto malicioso que pone en peligro el sistema afectado.

Se conecta a determinados sitios Web para enviar y recibir información.

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{Default} = "{Malware Path and File name}"

HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run
{Default} = "{Malware Path and File name}"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\{random}

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\{random}
lld = "{Date of Infection}"

Rutina de puerta trasera

Ejecuta los comandos siguientes desde un usuario remoto malicioso:

• Access sites or redirect to other sites
• Delete Browser Helper Object (BHO)
• Download and execute arbitrary files
• Extract files
• Manage files/directories
• Perform shell command
• Register Browser Helper Object (BHO)

Robo de información

Se inyecta a sí mismo en los siguientes exploradores Web para supervisar las búsquedas efectuadas por el usuario en los siguientes motores de búsqueda:

• http://kr.altavista.com/web/results?
• http://kr.search.yahoo.com/search?
• http://kr.yahoo.com
• http://search.11st.co.kr/searchprdaction.tmall?
• http://search.daum.net/search?
• http://search.msn.co.kr/results.aspx?
• http://sp3.yousee.com
• http://www.daum.net
• http://www.google.co.kr/search?
• http://www.microsoft.com

Otros detalles

Se conecta al sitio Web siguiente para enviar y recibir información:

• http://stop.{BLOCKED}denerror.com/log{number}.php?cpid={value}
• http://stop.{BLOCKED}denerror.com/gnome.php?cpid={value}
• http://404.{BLOCKED}ebsitedatabase.com/gnome.php?cpid={value}
• http://{BLOCKED}0.com