www. google. com
www. auto. com
www. free. com
www. super. com
www. pictures. com

El navegador también puede pedir la confirmación para la instalación de uno de los siguientes archivos:

FreeAccess.ocx
FreeToons.cab

Cuando se instala, el troyano busca la presencia de VMware, un software de máquina virtual, ya que no se ejecuta si detecta estar dentro de ese entorno (posiblemente porque esta es una técnica utilizada por algunos investigadores para examinar un código malicioso).

Tampoco se ejecuta si detecta en el equipo uno de los siguientes programas, utilizados para examinar o monitorear la ejecución y acciones de otros procesos (también utilizados para el examen de código sospechoso):

Filemon de Sysinternals
Regmon de Sysinternals
SoftICE Debugger de Numega (SICE y SIWVIDSTART)

Por el mismo motivo, busca en la entrada del registro "SOFTWARE \Microsoft \Windows \CurrentVersion \Uninstall\", la presencia de programas previamente instalados con las siguientes cadenas en sus nombres, y en ese caso tampoco se ejecuta:

ethereal
commview
core force
processguard
softice
driverstudio
microsoft visual c
visual studio

El troyano puede crear los siguientes archivos en el sistema:

\TEMP\????????1.exe
c:\windows\????????1.dll

Donde "????????" son caracteres al azar.

NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.

NOTA: La carpeta "c:\windows" puede variar de acuerdo al sistema operativo instalado ("c:\winnt" en NT, "c:\windows", en 9x, Me, XP, etc.). La carpeta del sistema puede ser "c:\windows\system32" en Windows XP y Windows Server 2003, "c:\winnt\system32" en Windows NT y 2000 o "c:\windows\system" en Windows 9x y ME.

Intenta descargar y ejecutar archivos .DLL de las siguientes direcciones IP:

81. 227. 219. 29
120. 19. 148. 181
166. 65. 130. 116
195. 225. 177. 145

Intenta conectarse al siguiente dominio:

shiptrop. com

Los archivos descargados, son registrados como objetos BHO (Browser Helper Object), creando las siguientes entradas en el registro:

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Explorer\Browser Helper Objects
\{????????-????-????-????-????????????}

HKEY_CLASSES_ROOT\CLSID
\{????????-????-????-????-????????????}

Donde {????????-????-????-????-????????????} es una clave CLSID de caracteres hexadecimales al azar, por ejemplo:

{FF450001-5FEF-A0D1-A3FB-D0452F986E99}

Estos objetos BHO (archivos .DLL), se ejecutan en cada instancia del Internet Explorer, e intentan conectarse y en algunos casos descargar y ejecutar ciertos scripts encargados de mostrar publicidad y realizar otras acciones, desde los siguientes sitios de Internet:

bstuck. net
chongchua. com
fogcu. com
gcwave. com
livingcert. com
shabit. net
slowl. com
washerner. com
wscrew. com

Para secuestrar la barra de búsqueda del Internet Explorer, crea o modifica la siguiente entrada del registro:

HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks
{CFBFAE00-17A6-11D0-99CB-00C04FD64497}

También crea las siguientes entradas para autoejecutarse en cada reinicio, y para otras acciones relacionadas con su funcionamiento:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = [camino y nombre del .DLL del troyano]

HKLM\SOFTWARE\Microsoft\jkhwk

HKLM\SOFTWARE\Microsoft\luuld

Descarga e instala otros componentes desde Internet, incluyendo los que le proporcionarán las habilidades de rootkit para ocultar sus acciones y evitar ser eliminado. Cuando ello ocurre, crea los siguientes archivos:

c:\windows\system32\????????aa.dll
c:\windows\system32\[Nombre DOS].[ext]
c:\windows\[Nombre DOS].[ext]

Donde "????????" son caracteres al azar, y [Nombre DOS] es uno de los siguientes nombres reservados del sistema operativo:

com#
lpt#
tty
prn
nul
con
aux

Donde "#" representa un número entre 1 y 9, por ejemplo:

com2
lpt3

NOTA: La ubicación y nombres de las carpetas "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).

El troyano puede almacenar algunos de esos archivos como los siguientes flujos alternativos de datos (ADS, Alternate Data Streams):

c:\windows\system32:????????aa.dll
c:????????aa.dll
c:\windows\system32:[Nombre DOS].[ext]
c:[Nombre DOS].[ext]

Todos esos archivos y claves de registro quedan ocultos mediante las técnicas de rootkit utilizadas.

El troyano también crea una nueva cuenta de administrador con un nombre al azar, bajando además los privilegios de la actual cuenta del usuario infectado, y deshabilitando la funcionalidad de algunos programas de seguridad que utilizan privilegios de administrador para su funcionamiento (antivirus, cortafuegos, etc.)

Crea los siguientes archivos asociados a la nueva cuenta de administrador, encriptados con el sistema EFS (Encryption File System) de Windows, que impide el acceso a los mismos sin los derechos adecuados:

[archivos comunes]\System\[caracteres al azar].exe
[archivos comunes]\Microsoft Shared\[caracteres al azar].exe
[archivos comunes]\Services\[caracteres al azar].exe

La carpeta [archivos comunes] puede estar en cualquiera de estas ubicaciones, según la versión del sistema operativo instalado:

C:\Archivos de programa\Archivos comunes
C:\Program Files\Common Files

Crea un servicio asociado a la nueva cuenta administrativa, en la siguiente clave del registro:

HKLM\SYSTEM\CurrentControlSet\Services\[nombre al azar]

En este caso [nombre al azar] está formado por partes de cadenas de otros servicios legítimos, para dificultar su descubrimiento.

También crea la siguiente entrada:

HKCU\Software\Microsoft\RASModule\Data\

El troyano puede mostrar ventanas con publicidad, robar información del equipo infectado, y también actuar como un discador, que intentará realizar una conexión telefónica a un número de alto costo.

También intenta descargar un archivo de Internet. Si lo logra, lo copia en la siguiente ubicación:

[Archivos de programa]\LinkOptimizer\linkoptimizer.dll

NOTA: [Archivos de programa] puede ser la carpeta "c:\archivos de programa" o "c:\program files"

Intenta evitar la ejecución de aquellos programas cuyos nombres contengan algunas de las siguientes cadenas (generalmente son aplicaciones de seguridad y anti-rootkits):

antihook
avganti-rootkit
avz
avzantivirus
avzanti-virus
blacklight
clrav
gmer
gromozon
icesword
prevx
rootkit
rootkitrevealer
rootkituncover
sophosanti-rootkit
sophosant-rootkit
svv

Además, intenta bloquear el acceso a cualquier conexión de Internet hacia dominios que contengan las siguientes cadenas en sus nombres:

2-spyware.
antispywareremoval.
castlecops.
hwupgrade.
paretologic.
pcalsicuro.
pctools.
prevx.
protecus.
scan-it-clean-it.
suspectfile.
trojaner-board.
wilderssecurity.

NOTA: Algunos de los componentes rootkits descargados, pueden ser detectados por NOD32 como variantes del Win32/Gromoz.


Reparación manual

La limpieza correcta de la infección provocada por este troyano, puede requerir una reinstalación limpia del sistema operativo. Las siguientes instrucciones se dan solo como referencia para permitir realizar el respaldo de archivos que se deseen conservar.


Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

1. Actualice su antivirus. En el caso de ESET NOD32, seleccione el Control Center, Módulos de actualización, NOD32 Update y haga clic en el botón "Actualizar ahora". Compruebe que la versión de firmas de virus sea la misma que aparece en http://www.nod32.com.uy o en http://www.vsantivirus.com/nod32.htm

2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

3. Borre los archivos temporales como se indica en el siguiente enlace:

Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm

4. Seleccione la opción "Analizar y Desinfectar automáticamente" en su antivirus. En el caso de ESET NOD32, seleccione Control Center, NOD32 Scanner, haga clic en el botón "NOD32 Scanner", seleccione la casilla "Local", y haga clic en el botón "Analizar y desinfectar".

5. En el caso de NOD32, haga clic en el botón "Desinfectar" cuando aparezca, o en el botón "Eliminar" cuando el botón "Desinfectar" no esté activo. En cualquier otro caso, el antivirus le dará el mensaje "sin acciones" y la limpieza se efectuará al reiniciar.

6. Tome nota del nombre de los archivos desinfectados o eliminados.

7. Reinicie la computadora.

8. Vuelva a ejecutar la opción "Analizar y Desinfectar automáticamente".


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 6 del ítem "Antivirus".

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm


Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.


Información adicional

Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.


Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y haga clic en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Haga clic en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com