Cavalo de tróia propaga-se por meio de spams

O código chega por correio eletrônico, como se fosse uma atualização de produto da Symantec, e leva no assunto a frase “Last Update”. A mensagem conta com o anexo nav32.zip, que, de acordo com o corpo do e-mail, contém a versão 2004 do Norton. Quando executado, o Sdbot se copia para o diretório system do Windows como RPCXlsq23.exe, e uma chave de registro é criada para carregá-lo na inicialização da máquina.

Após este processo, a ameaça tenta se conectar ao servidor IRC utilizando de um canal específico e aguarda por comandos de um ataque remoto. A ação permite a um hacker capturar informações do sistema (CPU, memória RAM, espaço e disco, endereço IP); efetuar o download de arquivos e os executar; além de realizar um ataque do tipo DoS (Denial of Service).