SVHOST2.EXE , spyware, troyano o que es?
Publicado por vaca_loca (2 intervenciones) el 21/08/2005 20:36:03
por casualidad encontre un proceso que se llama SVHOST2.EXE.
Este maldito se ejecutaba aproximadamente cada 30 segundos y se
comunica a traves del puerto 21 FTP a la ip 209.63.57.10, que corresponde
a www1.0catch.com, y no se que tipo de datos transfiere. Este archivo se encontraba en la carpeta Windows, y no se en que momento se instaló.
Modifica al menos 5 entradas del registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (svhost2.exe)
HKEY_USERS\S-1-5-21-1547161642-152049171-1708537768-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache (C:\WINDOWS\SVHOST2.EXE)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (svhost2.exe=C:\WINDOWS\SVHOST2.EXE)
HKEY_USERS\S-1-5-21-1547161642-152049171-1708537768-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache (C:\WINDOWS\SVHOST2.EXE=SVHOST2)
HKEY_USERS\S-1-5-21-1547161642-152049171-1708537768-1007\Software\Microsoft\Search Assistant\ACMru\5603 (000=svhost2).
El archivo tiene 424 KB (434,688 bytes), y por su nombre puede camouflarse
en la lista de procesos, ya que es parecido al normal SVCHOST.EXE.
Que les parece?
Este maldito se ejecutaba aproximadamente cada 30 segundos y se
comunica a traves del puerto 21 FTP a la ip 209.63.57.10, que corresponde
a www1.0catch.com, y no se que tipo de datos transfiere. Este archivo se encontraba en la carpeta Windows, y no se en que momento se instaló.
Modifica al menos 5 entradas del registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (svhost2.exe)
HKEY_USERS\S-1-5-21-1547161642-152049171-1708537768-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache (C:\WINDOWS\SVHOST2.EXE)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (svhost2.exe=C:\WINDOWS\SVHOST2.EXE)
HKEY_USERS\S-1-5-21-1547161642-152049171-1708537768-1007\Software\Microsoft\Windows\ShellNoRoam\MUICache (C:\WINDOWS\SVHOST2.EXE=SVHOST2)
HKEY_USERS\S-1-5-21-1547161642-152049171-1708537768-1007\Software\Microsoft\Search Assistant\ACMru\5603 (000=svhost2).
El archivo tiene 424 KB (434,688 bytes), y por su nombre puede camouflarse
en la lista de procesos, ya que es parecido al normal SVCHOST.EXE.
Que les parece?
Valora esta pregunta
0