Troyano que abre una puerta trasera permitiendo el acceso no autorizado a un atacante remoto, permitiendole descargar/ejecutar ficheros, robar contraseñas y capturar las pulsaciones efectuadas sobre el teclado.
Es un rookit, por lo cual es dificil su detección.
Luego de ser ejecutada crea los siguientes archivos:
Nota: %System% es una variable que hace referencia al directorio de sistema de Windows, C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), o C:\Windows\System32 (Windows XP).
En los siguientes archivos guarda la información robada:
Estas archivos son ocultados utilizando técnicas 'rootkit'.
Nota: Un 'rootkit' es una herramienta que sirve para ocultar actividades ilegítimas en un sistema.
Una vez que ha sido instalada, permite al atacante actuar con el nivel de privilegios del administrador del equipo.
Crea los siguientes servicios: ycsvgd
ydsvgd
Crea las siguientes subclaves en el registro de Windows, relativas a los servicios anteriores: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ycsvgd
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ydsvgd
Crea la siguiente subclaves en el registro de Windows: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_YCSVGD
Crea la siguiente subclave en el registro de Windows en equipos con Windows NT/2000/XP para ejecutarse automáticamente cada vez que el sistema es reiniciado: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ydsvgd
Crea las siguientes subclaves en el registro de Windows para ejecutarse en modo seguro: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ycsvgd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ycsvgd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ycsvgd.sys
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ycsvgd.sys
Para deshabilitar el Centro de Seguridad de Windows, elimina el valor indicadode la siguiente clave del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc
Valor: "Start" = "[- número -]"
Para deshabilitar la protección contra escritura de Microsoft DEP (Data Execution Prevention), añade el valor indicado a la siguiente clave del registro de Windows: Clave: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
Valor: "EnforceWriteProtection" = "0"
Oculta su presencia inyectando el siguiente fichero en el 'Explorer.exe':
%System%\ydsvgd.dll
Abre una puerta trasera y envia la información utilizando para ello el sitio:
http:// www.grci.info/bsrv[- eliminado -].
Envía un correo electrónico con la información robada a una dirección de correo determinada.
NOD32 peru distribuidor de NOD32 en peru tienda NOD32 comprar NOD32 venta de NOD32 NOD32 corporativo avast peru distribuidor de avast en peru tienda avast comprar avast venta de avast avast corporativo antivirus virus eliminacion de virus antivirus gratis antivirus free download antivirus antivirus peru recuperacion de data disco dañado recuperacion de archivos recuperacion de passwords o contraseñas seguridad informatica
NOD32 es marca registrada de ESET, avast! es marca registrada de ALWIL Software. Microsoft y Windows son marcas registradas de Microsoft Corporation. Todas las otras marcas y productos son marcas registradas de sus respectivos propietarios.
242-5751 
soporte@pcokey.com 
