Este malware roba información del equipo infectado para enviarlo luego a un servidor remoto. Los datos capturados son información de cuentas de correo y contraseñas tecleadas.
Al ejecutarse por primera vez realiza se copia en la siguiente ruta: %directorio de ejecución del código malicioso%\fucked
Captura la siguiente información:
Contraseñas tecleadas en 'campos de introdución de contraseñas'.
Información de cuentas de correo obtenida de la llave del registro:
HKCU\Software\Microsoft\Internet Account Manager\Accounts
Contraseñas de los siguientes programas:
Miranda ICQ
MirM
QIP
FileZilla
FlashFXP
Firefox
Punto Switcher
SmartFTP
CoffeeCup Software v
Total Commander
Total Commander XP v
Mirabilis ICQ
Windows Commander
B2
CuteFTP
Ipswitch
Opera Software
Eudora
The Bat!
Trillian
Gaim
Intenta contactar con el siguiente servidor mediante HTTP POST usando un script PHP: 82.146.60.24/gategi/tz/**********
NOD32 peru distribuidor de NOD32 en peru tienda NOD32 comprar NOD32 venta de NOD32 NOD32 corporativo avast peru distribuidor de avast en peru tienda avast comprar avast venta de avast avast corporativo antivirus virus eliminacion de virus antivirus gratis antivirus free download antivirus antivirus peru recuperacion de data disco dañado recuperacion de archivos recuperacion de passwords o contraseñas seguridad informatica
NOD32 es marca registrada de ESET, avast! es marca registrada de ALWIL Software. Microsoft y Windows son marcas registradas de Microsoft Corporation. Todas las otras marcas y productos son marcas registradas de sus respectivos propietarios.
242-5751 
soporte@pcokey.com 
