Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Backdoor.DarkSky.C. Asocia .EXE, .TXT, .SCR y .CHM
 
VSantivirus No. 830 - Año 6 - Martes 15 de octubre de 2002

 Troj/Backdoor.DarkSky.C. Asocia .EXE, .TXT, .SCR y .CHM
http://www.vsantivirus.com/back-darksky-c.htm

Nombre: Troj/Backdoor.DarkSky.C
Tipo: Caballo de Troya de acceso remoto
Alias: Backdoor.DarkSky.C
Fecha: 14/oct/02
Tamaño: 40 Kb
Plataforma: Windows 32-bits

Cuando este troyano es ejecutado, primero se ejecuta como un servicio, y luego se copia a si mismo en las siguientes ubicaciones:

C:\Windows\System\Msinter.exe
C:\Windows\System\Notepd.exe
C:\Windows\Mobbs.exe
C:\Windows\Nuscr.exe

'C:\Windows\System' puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

Luego el troyano agrega los siguientes valores en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
TaskMonitor = C:\Windows\System\Msinter.exe

HKLM\Software\Classes\exefile\shell\open\command
(Predeterminado) = C:\Windows\System\Notepd.exe "%1" %*

HKEY_CLASSES_ROOT\txtfile\shell\open\command
(Predeterminado) = C:\Windows\System\Notepd.exe "%1"

HKEY_CLASSES_ROOT\scrfile\shell\open\command
(Predeterminado) = C:\Windows\Nuscr.exe "%1"

HKEY_CLASSES_ROOT\chm.file\shell\open\command
(Predeterminado) = C:\Windows\Nuscr.exe "%1"

Con estos cambios, el troyano no solo se ejecuta cada vez que Windows se reinicia, sino que también lo hace cada vez que el usuario o el sistema abre o ejecuta algún archivo con las siguientes extensiones:

.EXE
.TXT
.SCR
.CHM

También modifica el archivo WIN.INI agregando la siguiente entrada bajo la sección [windows]:

[windows]
run = C:\Windows\Mobbs.exe

Esto también ejecuta al troyano en sistemas Windows 95, 98 y Me.


Para eliminar el troyano de un sistema infectado

Primero debe renombrar el archivo REGEDIT.EXE como REGEDIT.COM, ya que la extensión .EXE está asociada al troyano, y éste se volvería a cargar si ejecutamos REGEDIT en forma normal.

1. Ejecute un antivirus actualizado y anote los archivos del troyano detectados

2. Desde Inicio, Ejecutar, teclee lo siguiente (puede usar cortar y pegar) y pulse Enter:

  Command /c Rename C:\Windows\Regedit.exe Regedit.com

Si Windows no está instalado en C:\WINDOWS, debe cambiar esta referencia (Ej.: C:\NOMBRE\REGEDIT.EXE, etc.).

3. Desde Inicio, Ejecutar, teclee REGEDIT.COM y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Classes
\exefile
\shell
\open
\command

5. Pinche sobre la carpeta "command". En el panel de la derecha pinche sobre "(Predeterminado)" y en Información del valor, debe dejar solo esto (comillas, porcentaje, uno, comillas, espacio, porcentaje, asterisco):

"%1" %*

6. Seleccione en el panel de la izquierda la siguiente entrada:

HKEY_CLASSES_ROOT
\txtfile
\shell
\open
\command

7. En el panel de la derecha haga doble clic sobre (Predeterminado), y cambie su contenido por lo siguiente:

En Windows 98:

C:\Windows\Notepad.exe %1

En Windows 2000:

%SystemRoot%\system32\NOTEPAD.EXE %1

8. Seleccione en el panel de la izquierda la siguiente entrada:

HKEY_CLASSES_ROOT
\scrfile
\shell
\open
\command

9. En el panel de la derecha haga doble clic sobre (Predeterminado), y cambie su contenido por lo siguiente:

%1

10. Seleccione en el panel de la izquierda la siguiente entrada:

HKEY_CLASSES_ROOT
\chm.file
\shell
\open
\command

11. En el panel de la derecha haga doble clic sobre (Predeterminado), y cambie su contenido por lo siguiente:

hh.exe

12. Seleccione en el panel de la izquierda la siguiente entrada:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

13. En el panel de la derecha borre el siguiente valor:

TaskMonitor = C:\Windows\System\Msinter.exe


Editar el archivo WIN.INI

1. Desde Inicio, Ejecutar, teclee WIN.INI y pulse Enter.

2. Busque lo siguiente:

[windows]
run = C:\Windows\Mobbs.exe

Debe quedar como:

[windows]
run =

3. Grabe los cambios y salga del bloc de notas.

4. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS