TSPY_DAURSO.SMY

Abre una ventana oculta de Internet Explorer.

Detalles de entrada

Este malware puede haberse descargado desde el/los sitio(s) remoto(s) siguiente(s):

• http://alesolo.ru/new/controller.php?action=bot&entity_list=&first=0&rnd=981633&uid=1&guid=2847846060

Instalación

Este malware infiltra el/los siguiente(s) archivo(s):

• %System%\drivers\{Random File Name}.sys - detected as RTKT_BUBNIX.A

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• mutex_io

Rutina de puerta trasera

Abre una ventana oculta de Internet Explorer.

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• %ProgramFiles%\FTP Navigator\ftplist.txt

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://95.80.200.134/good/receiver/ftp

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

• This spyware steals sensitive FTP credentials of the following FTP client applications: CoreFTP, Ghisler, GlobalSCAPE, FileZilla, FlashFXP, SmartFTP.
• It also searches for files inside the following user folders to look for saved FTP credentials: %Application Data%GlobalSCAPE, %Application Data%FileZilla, %Application Data%FlashFXP, %Application Data%SmartFTP

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).