Desde aquí :
Trojan.Naid es un troyano que abre una puerta trasera en la computadora comprometida.
Cuando se ejecuta el troyano, crea los siguientes archivos:
% UserProfile% \ AppMgmt.dll% Windir% \ Temp \ uid.ax
El troyano crea las siguientes entradas de registro:
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet \ Services \ AppMgmt \ "Start"="2"
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet \ Services \ AppMgmt \ Parameters \ "ServiceDll"
= "% UserProfile% \ AppMgmt.dll" HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet \ Services \ AppMgmt \ "Type"="272"
HKEY_LOCAL_MACHINE \ SYSTEM \ ControlSet \ Services \ AppMgmt \ "FailureActions"
= "[DATOS BINARIOS]"
El troyano puede crear uno de los siguientes servicios para que se ejecute
cada vez que Windows se inicia:
AppMgmt BITS
El troyano recopila la siguiente información del sistema de la
equipo comprometido:
identificador único de nombre de dominio (UID)
El troyano utiliza su propio protocolo de comunicaciones personalizado para conectarse
a la siguiente dirección IP sobre el puerto 443:
219.90.117.132
El troyano luego abre una puerta trasera en la computadora comprometida.
Por lo tanto, debe inspeccionar al menos las rutas, claves y servicios mencionados.
Pero el troyano podría modificarse, por lo que también recomiendo inspeccionar las conexiones de red utilizando netstat o Process Monitor y otras herramientas de Sysinternals Suite .