[Revisión Malware Trojan.PWS.KATES.AG] - Navegadores Tom 'Peeping

En el momento en que llega a un nuevo sistema, Trojan.PWS.KATES crea una copia de sí mismo que se guarda en % userprofile% \ Plantillas memory.tmp \. Una vez que esta tarea se completa, el archivo original se elimina.

A continuación, el archivo malicioso crea el subdirectorio "Windows Server" dentro de Configuración local \ Datos de programa \ y lanza un archivo .dll de 3 KB llamado pwfsdy.dll. Los tiempos de acceso a archivos, creación y escritura del usuario son reemplazados por los del archivo user32.dll. Para que el archivo .dll se ejecute automáticamente cada vez que un programa funciona por primera vez, se escribe una clave de registro en SYSTEM \ CurrentControlSet \ Control \ Session Manager \ AppCertDlls \ AppSecDll. Esto significa que cualquier programa que el usuario instale, pondrá también en marcha este programa de malware.

Posteriormente, los datos binarios cargados en la clave de registro HKEY_CURRENT_USER SOFTWARE \ lbtppwfsdy \ lbtppwfsdy serán ejecutados por el archivo pwfsdy.dll.

La acción comienza cuando el troyano se carga junto con el navegador de Internet que el usuario utiliza para acceder a páginas web. Si el navegador es Firefox ®, Opera o Internet Explorer ®, Trojan.PWS.KATES cogerá funciones que transfieren datos a través de la conexión a Internet, filtrará lo que parecerán ser páginas de resultados emitidas por motores de búsqueda y los reemplazará aleatoriamente por URL que llevan al usuario a páginas "exóticas" como falsos programas antivirus en línea o webs con contenido pornográfico.

Además de un seguimiento constante de los sites elegidos por el usuario, Trojan.PWS.KATES accede a las contraseñas de los usuarios y a cualquier otro dato crítico a su alcance en Internet, enviando esa información a los servidores del creador del malware.