Clase de padre: TrojWare
Los troyanos son programas maliciosos que realizan acciones que no están autorizadas por el usuario: borran, bloquean, modifican o copian datos e interrumpen el rendimiento de las computadoras o las redes de computadoras. A diferencia de los virus y las lombrices, las amenazas que entran en esta categoría no pueden hacer copias de sí mismas ni autorreplicarse. Los troyanos se clasifican de acuerdo con el tipo de acción que realizan en una computadora infectada.Clase: Trojan
Un programa malicioso diseñado para espiar electrónicamente las actividades del usuario (interceptar la entrada del teclado, tomar capturas de pantalla, capturar una lista de aplicaciones activas, etc.). La información recopilada se envía al cibercriminal por diversos medios, incluidos el correo electrónico, FTP y HTTP (mediante el envío de datos en una solicitud).Más información
Plataforma: VBS
Visual Basic Scripting Edition (VBScript) es un lenguaje de scripts interpretado por Windows Script Host. VBScript es ampliamente utilizado para crear scripts en sistemas operativos Microsoft Windows.Descripción
Detalles técnicos
Carewmr es un programa troyano peligroso escrito en el lenguaje VBS. Elimina el contenido del directorio "C: Windows".
Cuando se ejecuta el programa troyano, muestra los siguientes mensajes:
"Bienvenido a CLRAV de Kasperskys, presione Aceptar o Aceptar para comenzar a escanear su computadora"."ERROR! Código de error: 3212552, por favor ejecute esta herramienta en MS-DOS".
"Gracias por preferir los productos de Kasperskys"
"Carewmr" abre el sitio "http: www.avp.ru" en el navegador de Internet predeterminado.
El 1 de septiembre, el programa troyano muestra el mensaje:
"Mr.Carew vuelve otra vez !!, jaja"
También elimina las siguientes claves de registro:
"HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunSystemTray" "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunAVPCC" "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunNAVW32" "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunTrueVector" "HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunZoneAlarm Pro"
"Carewmr" luego crea varios archivos y directorios, como se detalla a continuación.
Archivos creados:
"C: Norton2003isbad_preferKAVORAVP"
"C: AVP"
"C: NAV"
"C: CHILE"
"C: TEMUCO"
"C: MCAFEE"
"C: ENTELPCS"
"C: GSM1900MHZ"
"C: SONYERICSSON"
"C: CAREFULLY_WHIT_ME"
"C: YOUR_PC_IS_VERY_BAD"
"C: ODIO MELINA"
"C: VBS.CarewMR.a"
"C: ¿Windows es un virus real?"
"C: MELINA_TE_ODIO_MUERETE!"
"C: WindowsXP"
"C: Windows3.11"
"C: Windows98SE"
"C: WindowsME"
"C: Windows 95"
"C: WindowsNT"
"C: Windows2000"
"C: TELLCELL SA"
"C: PORNOGRAFÍA"
"C: ORAL_SEX"
"C: BIN_LADEN_FUCKYOU"
"C: ICQ"
"C: PANDA"
"C: NOD32"
"C: TENDENCIA"
"C: PC-CILLIN"
"C: AvpM.exe"
"C: Kaspersky_AntiVirus_PersonalPRO_THEBEST !!!!!"
"C: Norton_thePOOR"
"C: Madonna_Sucking_my_dick.avi"
"C: Your_system_is_infected_by_a_virus_jajajajajajaja.jajajaja"
"C: THE_HEURISTIC_OF_NORTON_IS_VERY_BAD_AND_PRODUCE: POSITIVES-FALSES"
Directorios creados:
"C: Symantec"
"C: KasperskyLabs"
"C: PandaSoftware"
"C: TrendMicro"
"C: Eset-Nod-jodido"
A continuación, el troyano crea un archivo de texto llamado CLRAV_Report.log que tiene los siguientes contenidos:
"Debido a un error, Código de error: 3212552, CLRAV no desinfecta su computadora"
"Para Soporte, envíe un correo electrónico a support@kaspersky.com e indique el Código de error".
Actualmente, se informa que este programa troyano está "en la naturaleza".
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com