TROJ_VSTART.SMA

Se conecta a determinadas URL. Uno de los objetivos para ello puede ser informar remotamente de su instalación a un usuario malicioso. También puede hacerlo para descargar archivos maliciosos en el equipo, lo que aumentaría su riesgo de infección por parte de otras amenazas.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System%\{random file name}.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
Type = "10"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
Start = "2"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
ErrorControl = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
ImagePath = "%System%\{random file name}.exe"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
DisplayName = "{random characters}"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
ObjectName = "LocalSystem"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}
Description = "{random characters}"

Se registra como un servicio del sistema para garantizar su ejecución automática cada vez que se inicia el sistema mediante la introducción de las siguientes claves de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\{random service name}

Rutina de descarga

Se conecta a las siguientes URL maliciosas:

• http://dns.{BLOCKED}os.com/{random characters}.html
• http://dns.{BLOCKED}soft.com/{random characters}.html