ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Trojan-PSW.Win32.CrazyBilets

Clase Trojan-PSW
Plataforma Win32
Descripción

Detalles técnicos

Este programa pertenece a la familia de contraseñas que roban troyanos. Se extendió desde una página web de acceso público en el servidor narod.ru al principio en junio de 2002.

La página web contenía lo siguiente:

 Exámenes intermedios
 Documentos de prueba para matemáticas y temas para composiciones. ¡Aún libre!

El archivo que reside en la página web es un instalador de troyanos. Cuando se ejecuta, coloca un programa troyano en el directorio de Windows, luego extrae y crea temas de exámenes falsos (en ruso).

El troyano en sí es un archivo EXE de Windows PE de aproximadamente 27 Kb de longitud (comprimido por UPX, el tamaño descomprimido es de aproximadamente 83 Kb) y está escrito en Delphi.

Cuando se ejecuta, el troyano se copia en el directorio de Windows con el nombre SYSTEM.EX y registra este archivo en la clave de ejecución automática del registro del sistema:

 HKLMSoftwareMicrosoftWindowsCurrentVersionRun
   Sistema =% WindowsDir% System.exe

La función principal del troyano CrazyBilets es recopilar contraseñas de Windows almacenadas en caché en máquinas de víctimas y enviar esta información a su "maestro" mediante conexión directa a un servidor SMTP.


Enlace al original