Troyano roba-passwords de World of Warcraft.

PWSteal.Wowcraft es un caballo de troya roba-passwords que intenta apropiarse de la password de World of Warcraft y la envía al creador del troyano.

Tipo: Troyano.
Tamaño infección: 34.304 bytes, 43.008 bytes
Sistemas afectados: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

Detalles técnicos:

1. Se copia a sí mismo como uno de los siguientes ficheros.

* %Archivos de Programa%\svhost32.exe
* %Archivos de Programa%\rundll32.exe
* %Archivos de Programa%\Internat.exe

2. Crea el siguiente fichero:

%System%\msdll.dll (c: \windows\system32\msdll.dll)

3. Añade al registro de Windows el siguiente valor:

“load” = “[Ruta de uno de los ejecutables del punto 1]” en HKEY_LOCAL_MACHINE\SOFTWARE\Microsof t\Windows\CurrentVersion\Run

de modo que arranca siempre al inicio del sistema.

4. Inyecta msdll.dll en otros procesos activos incluyendo explorer.exe, de manera que monitoriza las contraseñas introducidas.

5. Initenta iniciar un proceso de registro de teclas hasta encontrar una ventana asociada a “wow.exe”, “Launcher.exe”, “www.wowchina.com” o “signup.worldofwarcraft.com”.

6. Envía por email la contraseña sustraida al autor del Troyano.

7. Intenta deshabilitar procesos o ventanas que contengas los siguientes textos, algunos relacioneados con la seguridad:

* EGHOST.EXE
* MAILMON.EXE
* KAVPFW.EXE
* Ravmon.exe
* Ravmond.exe
* ZoneAlarm

8. Intenta descargar y ejecutar ficheros desde internet.

Fuente: Symantec y wow-esp.

2 comments

  1. dario

    a mi me aperecio en mo pc ese cartelito cada vez que la prendia, y ahora la computadora no anda mas, no inicia cuando la prendo me dice que es wind no esta protejido. puede ser que me haya borrado el wind. ya la mande a arreglar y me disen que no se puede, que tiene que cambiar el micro…. se puede hacer algo

Deja un comentario