Hoy quiero hablar sobre un troyano en plena expansión.
Actualmente hay una amenaza en formato keylogger, Wetoxy, que queda instalado y residente en equipos Windows tras visitar páginas web maliciosas. De esta manera quedan registradas todas las pulsaciones de teclado en un archivo que finalmente es transferido a un servidor remoto.
Entre las pulsaciones que registra se encuentran todas las contraseñas, números de tarjeta de crédito y cualquier cosa que requiera introducción de caracteres desde el teclado.
Wetoxy afecta a sistemas Windows de 32 y 64 bits, carece de rutina propia de propagación e infecta por la descarga de código malicioso al visitar una página Web infectada y descargado por algún programa principalmente en redes P2P.
Una vez infectado el equipo crea la siguiente entrada en el registro (Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run – Valor: “Event Notify” = %Current file name%) y las carpetas ocultas “Messenger” y “KeyboardJoy” para almacenar la información capturada.
Para su desinfección y si no es posible restaurar el sistema a un punto anterior de la infección o no usamos una solución antivirus capaz de detectar y desinfectar este troyano, debemos reiniciar el equipo en ‘modo seguro’ (tecla F8 en el arranque), eliminar los ficheros:
- %Temp%\%ProgramFiles%
- %UserProfile%\documents.log
- %ProgramFiles%\NetMeeting\ke[user_name]bodlog.dll
- %Temp%\Kebodlog.dll
- Y borrar del registro de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run – Valor: “Event Notify” = %Current file name%
Fuentes:
No hay comentarios:
Publicar un comentario