Cómo funciona el troyano "Trojan.PWS.KATES"

continuación, el archivo malicioso crea el subdirectorio "Windows Server" dentro de Configuración local \ Datos de programa \ y lanza un archivo .dll de 3 KB llamado pwfsdy.dll. Los tiempos de acceso a archivos, creación y escritura del usuario son reemplazados por los del archivo user32.dll. Para que el archivo .dll se ejecute automáticamente cada vez que un programa funciona por primera vez, se escribe una clave de registro en SYSTEM \ CurrentControlSet \ Control \ Session Manager \ AppCertDlls \ AppSecDll. Esto significa que cualquier programa que el usuario instale, pondrá también en marcha este programa de malware.

Posteriormente, los datos binarios cargados en la clave de registro HKEY_CURRENT_USER SOFTWARE \ lbtppwfsdy \ lbtppwfsdy serán ejecutados por el archivo pwfsdy.dll.

La acción comienza cuando el troyano se carga junto con el navegador de Internet que el usuario utiliza para acceder a páginas web. Si el navegador es Firefox ®, Opera o Internet Explorer ®, Trojan.PWS.KATES cogerá funciones que transfieren datos a través de la conexión a Internet, filtrará lo que parecerán ser páginas de resultados emitidas por motores de búsqueda y los reemplazará aleatoriamente por URL que llevan al usuario a páginas "exóticas" como falsos programas antivirus en línea o webs con contenido pornográfico.

Además de un seguimiento constante de los sites elegidos por el usuario, Trojan.PWS.KATES accede a las contraseñas de los usuarios y a cualquier otro dato crítico a su alcance en Internet, enviando esa información a los servidores del creador del malware.