¿Que Hace el Virus svcipa.exe?

Estado
Cerrado para nuevas respuestas

JoseIgnacio

Miembro Activo
Miembro
#1
He Estado en Internet y 3 Veces me Ha Entrado.

Tengo el NOD32 y Me Ha Protejido

Que Hace este Virus?¿Es Muy Poderoso? :confused:
 

Lestat

Ex- Mod
Miembro
#2
Es un fraude cibernético-telefónico que se realiza desde el año pasado, mediante instalación de un dialer y troyano, al visitar algúna página maliciosa.

La visita a la página puede darse directamente, por redireccionamiento o pop-up. La página es de publicidad, pero contiene una línea de código que vincula a servidores 209.167.111.110 y/o 216.95.196.22. Al entrar a esos servidores, se carga un script que explota la vulnerabilidad publicada en el boletín de seguridad de Microsoft del 14 de noviembre de 2006:


http://www.microsoft.com/technet/security/...n/ms06-071.mspx

Cuando no se tiene la protección descrita en el artículo, se ejecuta código XML que invoca un ejecutable (troyano Zonebac) de nombre svcipa.exe o ulogin125.exe. Ese troyano instala un tercer ejecutable, lsasss.exe, el cual suplanta a todos los archivos listados en la llave de inicio RUN del registro de windows, y se instala él mismo en la llave de inicio, pero no borra los ejecutables, sino que los mueve al directorio "bak". Esto para que cada vez que inicie la máquina, se ejecute el troyano tantas veces como archivos de inicio se tengan en la llave del registro, pero también manda llamar a los procesos originales para aparentar lo más posible que el equipo funciona correctamente. Los archivos svcipa y ulogin125 ya son detectados por la mayoría de los antivirus, pero el lsasss.exe (no es el mismo archivo del gusano sasser) no se detecta como virulento.

La peor parte viene ahora: una vez infectada la computadora, se ejecuta un dialer que hace llamadas de larga distancia, y cada vez que el usuario quiera conectarse a internet, se ejecuta este dialer y el usuario esta navegando sin darse cuenta, a través de un servicio remoto de larga distancia. El usuario se percata de que ha sido estafado una vez que revisa su recibo telefónico, al ver cargos por llamadas de "servicio de internet" que no supo que realizó.

Mas Informacion
 
Estado
Cerrado para nuevas respuestas
Arriba Pie