PWS:Win32.Daurso.A / rncsys32.exe ou ikowin32 ou .... 32.exe est une infection qui vole les mots de passe et envoie aux pirates (stealer - plus particulièrement le vol de compte FTP depuis les clients FTP installés sur le PC infecté).
Le fichier peut être détecté comme ceci par certains antivirus :
Trojan.Bredolab [Symantec et Dr.Web]
Trojan.Win32.Agent.cnyo [Kaspersky Lab]
Troj/Agent-KHE [Sophos]
Trojan.Win32.Agent [Ikarus]
Win-Trojan/Waledoc.22528 [AhnLab]
Se connecte à l'adresse http://78.109.29.116/new/controller.php?action=bot&entity_list=&uid=1&first=1&guid=xxxx&rnd=xxx pour recevoir/envoyer des informations, voir : http://forum.malekal.com/nonfathighestlocate-208-199-t19499.html
Koobface installant ce malware par un moment, voir : http://forum.malekal.com/net-worm-win32-koobface-sur-facebook-myspace-t14589.html#p158838
L'infection ajoute le fichier rncsys32.exe dans le Menu Démarrer / Tous les programmes / Démarrage, visible par la ligne suivante sur HijackThis :
O4 - Startup: rncsys32.exe
O4 - Startup: ikowin32.exe
O4 - Startup: ekrn32.exe
O4 - Startup: sysupd32.exe
Il a été vu des fichiers autorun.inf avec cette infection, cette dernière peut donc se propager par disques amovibles.
Etant donné que PWS:Win32.Daurso.A vole les mots de passe et notamment ceux de clients FTP, si vous êtes webmaster d'un site WEB, il est conseillé de :
