TSPY_SPYEYE.DU
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Spyware
Destructivo?
No
Cifrado
No
In the Wild:
Sí
Resumen y descripción
Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.
Este malware reduce la configuración de seguridad de Internet Explorer.
Detalles técnicos
Instalación
Crea las siguientes copias de sí mismo en el sistema afectado:
- %System Root%\trivax1.Bin\trivax1.Bin.exe
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Este malware infiltra el/los siguiente(s) archivo(s):
- %System Root%\trivax1.Bin\config.bin
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Crea las carpetas siguientes:
- %System Root%\trivax1.Bin
(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).
)Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Recovery
ClearBrowsingHistoryOnExit = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
GlobalUserOffline = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
ProxyHttp1.1 = "1"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnPostRedirect = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnIntranet = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
ShownServiceDownBalloon = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
EnabledV8 = "0"
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings
WarnOnPost = 0
(Note: The default value data of the said registry entry is 1.)
Capacidades de rootkit
Además, este malware cuenta con capacidades de rootkit, que le permiten mantener sus procesos y archivos ocultos para el usuario.
Modificación de la página de inicio y de la página de búsqueda del explorador Web
Este malware reduce la configuración de seguridad de Internet Explorer.