TSPY_SPYEYE.BU
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Spyware
Destructiveness:
No
Encrypted:
No
In the wild::
Yes
OVERVIEW
Se conecta a determinados sitios Web para enviar y recibir informaci¨®n.
TECHNICAL DETAILS
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Este malware infiltra el/los siguiente(s) archivo(s):
- %System%\sys0mt7.bin\config.bin
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Crea las siguientes copias de s¨ª mismo en el sistema afectado:
- %System%\sys0mt7.bin\sys0mt7.bin.exe
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Crea las carpetas siguientes:
- %System Root%\sys0mt7.bin
(Nota: %System Root% es la carpeta ra¨ªz, normalmente C:\. Tambi¨¦n es la ubicaci¨®n del sistema operativo).
)Este malware se inyecta a s¨ª mismo en los siguientes procesos como parte de su rutina de residencia en memoria:
- explorer.exe
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%System Root%\sys0mt7.bin\sys0mt7.bin.exe /q"
Otros detalles
Se conecta al sitio Web siguiente para enviar y recibir informaci¨®n:
- http://{BLOCKED}n/cp/gate.php
- http://{BLOCKED}n/cp/gate.php