Aparece un nuevo troyano que borra el antivirus

e trata de un caballo de Troya con capacidades de acceso por puerta trasera (trojan backdoor), y keylogger (captura de información ingresada por el teclado).

También puede obtener información crítica del equipo infectado (usuarios, contraseñas, etc.). Algunas variantes poseen características de virus infector de ejecutables.

Puede borrar archivos relacionados con algunas aplicaciones antivirus y también cortafuegos.

Cuando se ejecuta, los siguientes archivos pueden ser creados en el sistema (en el raíz de C:, en la carpeta de Archivos temporales de Internet y en otras carpetas de Windows):

a00000000
cqiksorl.exe
dc3.exe
dc36.exe
dc4.exe
degoqatr.exe
dhcwslv[1].txt
dhcwslv[2].txt
gtgc.exe
iafhr.exe
ixod.exe
jhtluqav.exe
kpjfvu.exe
kqcuk.exe
lgytfqc[1].txt
maxuso.exe
mrbp.exe
oefhr.exe
tpcjom.exe
xnjqrmcg.exe

El troyano es capaz de capturar la siguiente información:

- Archivos de la aplicación WebMoney
- Configuración de la computadora (memoria, discos, etc.)
- Contraseñas de recursos compartidos
- Cuentas de acceso telefónico a redes
- Dirección IP, nombre del host y nombres de usuarios
- Programas que se ejecutan al inicio
- Versión instalada de Windows, llave de producto, etc.

La información capturada, es almacenada de forma encriptada en un archivo creado por el troyano, y luego enviada a diferentes direcciones electrónicas ubicadas en Rusia.

El troyano abre una puerta trasera y se conecta a un servidor de IRC, desde donde puede recibir instrucciones de un usuario remoto.

Algunas de las posibles acciones que el atacante podrá efectuar en el PC infectado:

- Descargar, instalar y ejecutar nuevos programas
- Enviar información robada a direcciones remotas
- Finalizar y borrar software antivirus
- Instalar un servidor proxy

En ocasiones, también infecta archivos ejecutables, agregando su propio código al principio de los mismos. Para ello, busca aquellos programas que figuren en las siguientes claves del registro:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Cuando actúa como infector de ejecutables, también puede borrar archivos con las siguientes extensiones:

.avc
.key
.vdb

Además, intenta borrar archivos cuyos nombres comiencen con las siguientes cadenas de texto (esto incluye conocidos antivirus y cortafuegos):

Aler
Anda
Anti
Avp
Clean
Guar
Kav
Nod
Outp
Scan
Total
Tren
Troj
Zone

El troyano puede modificar el archivo SYSTEM.INI en la carpeta de Windows (9x y Me), agregando las siguientes entradas:

[TFTempCache]
id=[valor]
RtlMoveMeory=[valor]
PING=[valor]
TIME=[valor]