Enviar esta página Imprimir esta página Recogemos tu opinión
Panda Security » Antivirus Software » Security Information » Enciclopedia » Detalles técnicos, efectos, peligrosidad ...

Enciclopedia

XPCSpy

 
PeligrosidadPeligrosidad bajaDañoDañinoPropagaciónPoco extendido

Efectos 

XPCSpy es un programa potencialmente no deseado (también conocido como PUP, Potentially Unwanted Program) que realiza las siguientes acciones:

  • Registra las pulsaciones de teclado introducidas por el usuario.
  • De esta manera, podría obtener las contraseñas que se han introducido en el ordenador.
  • Realiza capturas de pantalla.
  • Puede registrar las siguientes acciones:
    - las páginas web visitadas.
    - las ventanas abiertas.
    - los mensajes de correo electrónico, conversaciones de chat y mensajes instantáneos.
    - los programas que se han ejecutado.
  • Presenta funcionalidades de rootkit para ocultar sus procesos y dificultar así su detección.

Metodo de Infección 

XPCSpy crea y oculta la subcarpeta XSOFT en el directorio Archivos de Programa con los siguientes archivos:

  • SMSS.EXE, que es el componente principal.
  • AMON.DLL, IMON.DLL y KEYMON.DLL.
  • SYSRTS.EXE.
  • RSRSYS.SYS, que corresponde al rootkit que utiliza para ocultar sus propios procesos.
    Todos estos archivos los crea en la subcarpeta XWORKING ubicada en la subcarpeta XSOFT del directorio Archivos de Programa.
  • RX.EXE. Este archivo se copia también como XLD.EXE.

 

XPCSpy crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SystemLoginService
    ImagePath = C:\Program Files\XSoft\xworking\sysrts.exe
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SystemLoginService
    ImagePath = C:\Program Files\XSoft\xworking\sysrts.exe
    Mediante estas entradas, XPCSpy se registra como servicio del sistema.
  • HKEY_CLASSES_ROOT\ CLSID\ {3A9DB4A6-E29C-4AE8-9C44-B058941EB5D0}\ InprocServer32
    (Default) = C:\Program Files\XSoft\xworking\IMon.dll
  • HKEY_CLASSES_ROOT\ CLSID\ {67C4682D-5AED-48DB-83CB-2B53270E9BCB}\ InprocServer32
    (Default) = C:\Program Files\XSoft\xworking\AMon.dll
    Mediante estas entradas, XPCSpy carga los archivos IMON.DLL y AMON.DLL, para que puedan realizar sus acciones.
  • HKEY_CLASSES_ROOT\ AMon.TShellExecuteHook\ Clsid
    (Default) = {67C4682D-5AED-48DB-83CB-2B53270E9BCB}
  • HKEY_CLASSES_ROOT\ CLSID\ {3A9DB4A6-E29C-4AE8-9C44-B058941EB5D0}\ InprocServer32
    ThreadingModel = Apartment
  • HKEY_CLASSES_ROOT\ CLSID\ {3A9DB4A6-E29C-4AE8-9C44-B058941EB5D0}\ ProgID
    (Default) = IMon.IESpy
  • HKEY_CLASSES_ROOT\ CLSID\ {67C4682D-5AED-48DB-83CB-2B53270E9BCB}
    (Default) = ShellExecute hook Sample
  • HKEY_CLASSES_ROOT\ CLSID\ {67C4682D-5AED-48DB-83CB-2B53270E9BCB}\ InprocServer32
    ThreadingModel = Apartment
  • HKEY_CLASSES_ROOT\ CLSID\ {67C4682D-5AED-48DB-83CB-2B53270E9BCB}\ ProgID
    (Default) = AMon.TShellExecuteHook
  • HKEY_CLASSES_ROOT\ IMon.IESpy\ Clsid
    (Default) = {3A9DB4A6-E29C-4AE8-9C44-B058941EB5D0}
  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Explorer\ ShellExecuteHooks
    {67C4682D-5AED-48DB-83CB-2B53270E9BCB} = ShellExecute hook Sample
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SystemLoginService
    DisplayName = Login Service
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SystemLoginService
    ErrorControl = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SystemLoginService
    ObjectName = LocalSystem
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SystemLoginService
    Start = 02, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SystemLoginService
    Type = 10, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ ControlSet001\ Services\ SystemLoginService\ Security
    Security = 01, 00, 14, 80, 90, 00, 00, 00, 9C, 00, 00, 00, 14, 00, 00, 00, 30, 00, 00, 00, 02, 00, 1C, 00, 01, 00, 00, 00, 02, 80, 14, 00, FF, 01, 0F, 00, 01, 01, 00, 00, 00, 00, 00, 01, 00, 00, 00, 00, 02, 00, 60, 00, 04, 00, 00, 00, 00, 00, 14, 00, FD, 01, 02, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00, 00, 00, 18, 00, FF, 01, 0F, 00, 01, 02, 00, 00, 00, 00, 00, 05, 20, 00, 00, 00, 20, 02, 00, 00, 00, 00, 14, 00, 8D, 01, 02, 00, 01, 01, 00, 00, 00, 00, 00, 05, 0B, 00, 00, 00, 00, 00, 18, 00, FD, 01, 02, 00, 01, 02, 00, 00, 00, 00, 00, 05, 20, 00, 00, 00, 23, 02, 00, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00, 01, 01, 00, 00, 00, 00, 00, 05, 12, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SystemLoginService
    DisplayName = Login Service
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SystemLoginService
    ErrorControl = 01, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SystemLoginService
    ObjectName = LocalSystem
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SystemLoginService
    Start = 02, 00, 00, 00
  • HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ SystemLoginService
    Type = 10, 00, 00, 00

Otros Detalles  

XPCSpy está escrito en lenguaje de programación Delphi v5. Este PUP tiene un tamaño de 3428352 Bytes.

La siguiente imagen corresponde a una interfaz del programa:

Información actualizada:  08/09/2007 

Virus News

24/3/09.-El troyano Nabload.DLU se oculta tras un divertido video para robar las claves bancarias

10/3/09.-1 de cada 100 usuarios mundiales estuvo expuesto al robo de identidad en 2008

2/3/09.-El número de infecciones del adware VideoPlay creció un 400% en febrero debido al uso malicioso de páginas de la web 2.0

[+ Noticias]