1 estrella2 estrellas3 estrellas4 estrellas5 estrellas
Loading ... Loading ...

Troyano OPACHKI

Troyano OPACHKI

Se ha detectado una nueva familia de malware que están atacando Internet. Ataca mediante los links de las búsquedas que se realizan en Google, pero también en cualquier acceso a Internet. Al parecer, el virus tiene el objetivo de secuestrar enlaces web a los que accede el usuario. Así cuando el usuario quiere entrar en la página web solicitada es redireccionado a otra web en la que se carga un archivo JavaScript.

Cuando secuestra los enlaces web recibe y manda llamadas a la API en varios programas como IEXPLORE.EXE, FIREFOX.EXE, QUIP.EXE o OPERA.EXE.

El virus se hace con el control del sistema de solicitudes y respuestas del trafico web. Secuestra los enlaces de  programas como IEXPLORE.EXE, FIREFOX.EXE, QUIP.EXE o OPERA.EXE y los suministra una etiqueta con secuencias de comandos maliciosos en las respuestas.

Opachki utiliza un gotero para contaminar los equipos, cargando un archivo DLL . Acto seguido, se dedica a descubrir las cadenas de la memoria y cuando ha terminado de utilizarlas las borra.

Los nombres de ficheros .DLL que crea cuando se instala son los siguientes:

  • %Usuario%\protect.dll
  • %Usuario%\Menu Inicio\Programas\Startup\ChkDisk.dll
  • %System%\autochk.dll
  • %Temp%\nsrbgxod.bak
  • %Usuario%\Manu Inicio\Programas\Startup\ChkDisk.lnk

Además, crea en el registro dos entradas para cargarse en memoria cuando el sistema se inicia:

Clave: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
 Valor: autochk = rundll32.exe c:\docume~1\admini~1\protect.dll,_iwmpevents@16

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
 Valor: autochk = rundll32.exe %System%\autochk.dll,_iwmpevents@16

El troyano no permite navegar adecuadamente al usuario por la red. No importa que las web a las que entre el usuario sean mediante buscador o página de inicio, el troyano actúa igual aunque no se pase primero por un buscador.

, , , , , , , , , , , , , , , , , , , ,

Escribe una respuesta