El troyano "Pardona.M." oculta sus procesos e infecta los ejecutables

aballo de Troya y virus infector de ejecutables.

Puede ser descargado silenciosamente de sitios Web.

Puede propagarse como gusano a través de recursos compartidos en redes, y también vía correo electrónico.

Cuando se ejecuta, puede crear los siguientes archivos:

c:\windows\system32\ePower.exe
c:\windows\system32\[letras al azar].sys

El componente .SYS funciona como rootkit para ocultar procesos creados por el propio troyano.

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

También crea numerosas versiones de si mismo con nombres al azar en la carpeta de archivos temporales (TEMP).

Crea el siguiente servicio:

Nombre de servicio: SysDrver
Nombre para mostrar: System SSDP Services
Ruta de acceso al ejecutable: [camino y nombre]
Tipo: Automático

Para ello, crea la siguiente entrada en el registro de Windows:

HKLM\SYSTEM\CurrentControlSet\Services\SysDrver

El troyano intenta descargar otros archivos de Internet, los que pueden ser copiados con el siguiente nombre en el equipo infectado y luego ejecutados:

c:\tool.exe