Troyano para la plataforma Windows que abre una puerta trasera en el equipo comprometido.
- Nombre completo del virus: Trojan.Multi/Korplug@Otros
- Tipo de código: Trojan [Caballo de Troya: programa que parece beneficioso o útil pero resulta ser malicioso en algún momento. No se propaga por si mismo].
- Plataformas afectadas: Multi: Afecta a las plataformas W32 [Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95] / W64 [Microsoft Windows de 64 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003]
- Capacidad de residencia permanente: Sí. Se ejecuta automáticamente en cada reinicio del sistema
- Alias:
Backdoor.Korplug (Symantec)
Propagación
- Capacidad de autopropagación: No
Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:
- Otro mecanismo de propagación
* Descargado por otro código malicioso o descargado sin el conocimiento del usuario al visitar una página Web infectada.
* Descargarlo de algún programa de compartición de ficheros (P2P).
Infección/Efectos
Cuando Korplug se ejecuta, realiza las siguientes acciones:
- Ficheros y carpetas
Crea los siguientes ficheros
- "%UserProfile%\SxS\rcdll.dll"
- "%UserProfile%\SxS\bug.log"
- "%UserProfile%\SxS\rc.hlp"
- "%UserProfile%\SxS\rc.exe"
- Claves y entradas del registro
Crea las siguientes entradas del registro
Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FAST
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SxS
Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SXS
- Otros detalles
Abre una puerta trasera en el equipo comprometido y trata de conectarse a los siguientes servidores:
[http://]fortune-creative.com
[http://]gameby.flower-show.org
Puede realizar las siguientes acciones:
* Abrir una shell remota.
* Grabar las pulsaciones del teclado.
* Capturar información confidencial sobre el ordenador y su red.
* Tomar capturas de pantalla.
Mas...
