ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.
Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Fecha de detección | 07/15/2010 |
Clase | Worm |
Plataforma | Win32 |
Descripción |
Usando el controlador: % System% driversmrxnet.sys El rootkit se conecta como un filtro de controlador a los siguientes arreglos del sistema de archivos: FileSystemntfs FileSystemfastfat FileSystemcdfs y de ese modo obtiene el control del sistema de archivos de la computadora infectada. El rootkit oculta archivos con nombres como este: ~ WTR <rnd> .tmp donde <rnd> es un número aleatorio de cuatro dígitos, por ejemplo: ~ WTR4132.tmp ~ WTR4141.tmp También oculta archivos con la extensión LNK y un tamaño de archivo igual a 4171 bytes. El archivo de rootkit tiene una firma digital de Realtek Semiconductor Corp. Contiene la siguiente cadena: b: myrtussrcobjfre_w2k_x86i386guava.pdb Usando el controlador: % System% driversmrxcls.sys El programa malicioso inyecta código malicioso en los procesos del modo de usuario. Para hacer esto, carga una biblioteca dinámica DLL en los siguientes procesos del sistema: svchost.exe services.exe lsass.exe después de lo cual, sus listas de módulos contienen bibliotecas con nombres como este: kernel32.dll.aslr. <rnd> shell32.dll.aslr. <rnd> donde <rnd> es un número hexadecimal aleatorio. El código inyectado se encuentra en el archivo: % WinDir% infoem7A.PNF en forma encriptada El código inyectado contiene la funcionalidad principal del programa malicioso. Esto incluye:
|
Enlace al original |
|
Descubra las estadísticas de las amenazas que se propagan en su región |