x
OFERTA 48H
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA ESPECIAL
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA HALLOWEEN
Aprovéchate de unos
descuentos de miedo
COMPRA HOY AL 50%
x
OFERTA NAVIDAD
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 40%
x
OFERTA ESPECIAL
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 50%
x
OFERTA BLACKFRIDAY
Compra el mejor antivirus
al mejor precio
SOLO HOY HASTA -70%
x
OFERTA CYBERMONDAY
Compra el mejor antivirus
al mejor precio
(Solo para particulares)
SOLO HOY HASTA -70%
Active Scan. Analiza Gratis tu PC
Panda Protection

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Stator

PeligrosidadPeligrosidad altaDañoMuy dañinoPropagaciónPoco extendido

Efectos 

Stator tiene los siguientes efectos:

  • Envia un mensaje de correo electrónico con información confidencial del ordenador atacado: claves de acceso y nombres de usuario para acceso de tipo RAS y redes locales, información sobre ciertos programas comerciales, si estos están instalados (Cute FTP, AutoConnect, NetLaunch, Netscape, TheBat!), contraseñas de FIDO Tmail, información del sistema, etc.
  • Una vez que Stator llega al ordenador, cada vez que se ejecuta el gusano o cualquier archivo con extensión EXE, el gusano afecta otros programas ejecutables.
  • Cuando se ejecuta el archivo adjunto, Stator muestra la siguiente imagen en pantalla:

Metodo de Infección 

Stator crea los siguientes archivos en el directorio de sistema de Windows:

  • SCANREGW.EXE. Este archivo es una copia del gusano.
  • LOADPE.COM. Este archivo es una copia del gusano.

Stator modifica los siguientes archivos:

  • MPLAYER.EXE
  • WINHOLOP32.EXE
  • NOTEPAD.EXE
  • CONTROL.EXE
  • SCANREGW.EXE
    Stator es cambiar la extensión de estos archivos originales y sustituirla por VXD. A continuación se copia a sí mismo con los nombres de los archivos originales.

Stator crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Classes\ exefile\ shell\ open\ command
    (Predeterminado) = %sysdir%\ loadpe.com %1 %*

    donde %sysdir% es el directorio del sistema de Windows.
    Mediante esta entrada, Stator se asegura su ejecución cada vez que se ejecuta un archivo con extensión EXE.
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunServices\ ScanRegistry = %sysdir%\ scanregw.exe
    Mediante esta entrada, Stator se asegura de que se ejecutará cada vez que se inicie el sistema.

Método de Propagación 

Stator se propaga a través del correo electrónico. Para ello, lleva a cabo la siguiente rutina:

  • Llega oculto en un mensaje escrito en ruso, con las siguientes características variables:

    Asunto: aparece la dirección IP de la máquina afectada

    Destinatario:
    esta dirección es creada en función de la fecha (mes y día) actuales.

    Remitente: aleatorio.

    Contenido: está escrito en ruso. Hace referencia a una persona llamada Sveta Kovaleva. Aparentemente esta persona es nueva en el uso de Internet y una tercera persona, un amigo común, habría sido la encargada de proporcionar a ésta la dirección de correo de la víctima del virus.
  • Archivo adjunto:
    PHOTO.JPG.PIF
  • El ordenador quedará afectado cuando se ejecute el archivo adjunto.
  • Stator se conecta al servidor de correo ruso smtp.mail.ru para enviar copias de sí mismo, utilizando el protocolo SMTP y la siguiente secuencia de comandos:
    HELO smtp.mail.ru
    mail from:

    rcpt to:
    DATA
    quit.

Otros Detalles  

Stator tiene un tamaño de 62464 Bytes y está comprimido en formato ASPack v1.05b. Una vez dscomprimido, se puede ver que se trata de un archivo ejecutable de Delphi, con un tamaño aproximado de 86500 Bytes.

Los recursos del archivo contienen una imagen de una muchacha con extensión JPG y un tamaño de 300X403 pixels. Este archivo tiene un tamaño de 27000 Bytes aproximadamente.