Troyano
nombre: Win32/TrojanProxy.Cimuz.NAF
Alias es: TrojanProxy.Cimuz.NAF, Adware.Sahat.13, Cimuz.BP!tr, Proxy.Agent.ly, TR/Cimuz.B, Troj/Cimuz-BP, Trojan.Spambot, Win32/TrojanProxy.Cimuz.NAF
Caracteristicas
El troyano incluye funcionalidades para acceder a Internet y comunicarse con un servidor remoto vía HTTP.
Actúa como un LSP (Layered Service Provider o Proveedor de Servicio por Niveles). LSP es un controlador del sistema que está íntimamente relacionado con los servicios de red de Windows. De ese modo, el troyano obtiene acceso a toda la información que se transmite.
También actúa como servidor proxy, actuando como intermediario entre Internet y un usuario remoto. Esto le permite recibir peticiones de un atacante, y redirigirlas a Internet desde el equipo infectado.
Es capaz de descargar y ejecutar otros archivos desde Internet.
Utiliza tecnología de rootkit para intentar ocultar sus propios procesos cuando se ejecuta.Intenta eliminar algunos procesos activos, modificar o crear claves del registro, y corromper archivos relacionados con programas antivirus y cortafuegos.
Cuando se ejecuta por primera vez, puede crear los siguientes archivos:
c:\windows\system32\zupacha.exe
c:\windows\system32\rsvp32_2.dll
c:\windows\system32\sporder.dll