sábado, 14 de abril de 2012

Wetoxy

Buenas a tod@s

Hoy quiero hablar sobre un troyano en plena expansión.



Actualmente hay una amenaza en formato keylogger, Wetoxy, que queda instalado y residente en equipos Windows tras visitar páginas web maliciosas. De esta manera quedan registradas todas las pulsaciones de teclado en un archivo que finalmente es transferido a un servidor remoto.

Entre las pulsaciones que registra se encuentran todas las contraseñas, números de tarjeta de crédito y cualquier cosa que requiera introducción de caracteres desde el teclado. 

Wetoxy afecta a sistemas Windows de 32 y 64 bits, carece de rutina propia de propagación e infecta por la descarga de código malicioso al visitar una página Web infectada y descargado por algún programa principalmente en redes P2P.

Una vez infectado el equipo crea la siguiente entrada en el registro (Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run – Valor: “Event Notify” = %Current file name%) y las carpetas ocultas “Messenger” y “KeyboardJoy” para almacenar la información capturada.

Para su desinfección y si no es posible restaurar el sistema a un punto anterior de la infección o no usamos una solución antivirus capaz de detectar y desinfectar este troyano, debemos reiniciar el equipo en ‘modo seguro’ (tecla F8 en el arranque), eliminar los ficheros:
  • %Temp%\%ProgramFiles%
  • %UserProfile%\documents.log
  • %ProgramFiles%\NetMeeting\ke[user_name]bodlog.dll
  • %Temp%\Kebodlog.dll
  • Y borrar del registro de Windows: HKCU\Software\Microsoft\Windows\CurrentVersion\Run – Valor: “Event Notify” = %Current file name%

Fuentes:



No hay comentarios:

Publicar un comentario