Backdoor.W32/CoreFlood.C

Alias:
Troj/CoreFloo-C (Sophos)

Descripción:
CoreFlood.C es un troyano de puerta trasera que permite el acceso no autorizado al equipo infectado a través de canales IRC. Utiliza ingeniosos mecanismos de ocultación que dificultan su detección.

Detalles:
El troyano llega en forma de un ejecutable de instalación, con nombre aleatorio de 7 caracteres a-z y extensión EXE.

Al ejecutarse en Windows 95, 98 o ME, copiará un archivo DLL en la carpeta System de Windows con un nombre aleatorio de 7 caracteres a-z.

Al ejecutare en Windows NT, 2000 o XP (sistema NTFS), copiará un archivo DLL asociado ADS a la carpeta System de Windows (normalmente \System32), con un nombre aleatorio de 7 caracteres.

El ejecutable de instalación iniciará el archivo DLL, que modificará la siguiente entrada del registro para activarse en el inicio del sistema:

HKLMSoftware\Microsoft\Windows\CurrentVersion\RunOnce
\ = rundll32 %SYSTEM% .dll,Init 1

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
\ = rundll32 %SYSTEM% ,Init 1

El archivo DLL se incluirá en el proceso de EXPLORER, con lo que será invisible desde el Administrador de tareas.

CoreFlood.C también incluye un sistema para evitar que el proceso sea detenido y que las entradas en el registro sean modificadas.

Solución:

• Uso de antivirus actualizado.

Más información acerca de este virus en:

• Sophos

Fuente: red.es