A General Fault Error has Occured in Address: 27x334F

Mientras, se copia a si mismo en la carpeta System:

C:\Windows\System\PIDLex.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

Luego crea la siguiente entrada en el registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NSID
(Predeterminado) = [datos encriptados]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Microsoft© PID Lex = C:\Windows\System\PIDLex.exe

Con esta última entrada, logra ejecutarse cada vez que Windows se reinicia.

Luego, el troyano intenta deshabilitar algunos procesos activos de conocidos antivirus y cortafuegos.

Si el sistema operativo es Windows 85, 98 o Millennium, el troyano se registra a si mismo como un servicio para continuar activo al terminar la sesión de usuario. El troyano finaliza su acción solo cuando la computadora es reiniciada físicamente.

También intenta obtener el acceso al caché de contraseñas guardado en la máquina local. Esto incluye las contraseñas y demás datos de usuario, de las conexiones a Internet, páginas Web, de red, etc.

El troyano también intercepta todo lo tecleado por la víctima, obteniendo de este modo información confidencial, por ejemplo de un mensaje electrónico privado, o de cualquier información ingresada desde el teclado.

Luego de instalado, el caballo de Troya notifica al atacante mediante el ICQ.

Queda entonces a la espera de comandos vía remota, de parte de un intruso. El troyano es capaz de recibir y ejecutar todas las ordenes para llevar a cabo las siguientes acciones:

• Enviar información del sistema y de la red al atacante, incluyendo nombres de usuario y contraseñas.
• Instalar un servidor FTP, lo que le permite al atacante usar la computadora infectada como un disco remoto de almacenamiento temporal.
• Imprimir textos, ejecutar archivos multimedia y abrir o cerrar la bandeja de CD.
• Esconder iconos del escritorio, la bandeja del sistema (Systray), botones y la barra de tareas.
• Apagar o encender el monitor.
• Interceptar información confidencial capturando lo tecleado por la víctima.
• Interceptar información mostrada en la pantalla
• Controlar la instalación del troyano de acceso remonto
• Descargar y ejecutar archivos
• Conectarse para capturar los datos mencionados antes en un momento determinado, y reenviar estos datos al atacante.
• Listar los procesos y las ventanas activas
• Enviar correo electrónico desde la computadora afectada
• Enviar claves de las aplicaciones activas
• Modificar una gran cantidad de parámetros del sistema, como la página de inicio de Internet, la resolución de la pantalla y mucho más.

Reparación manual

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Microsoft© PID Lex = C:\Windows\System\PIDLex.exe

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\NSID

6. Pinche en la carpeta "NSID" y en el panel de la derecha busque y borre la entrada "(Predeterminado)".

7. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

9. Si fuera necesario, reinstale sus antivirus y cortafuegos que pudieron haber sido borrados por el troyano.

10. Actualice sus antivirus con las últimas definiciones y ejecútelos en modo escaneo, revisando todos sus discos duros

11. Borre los archivos detectados como infectados


Cambiar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia. O navegue hacia una página de su agrado, pinche en Herramientas, Opciones de Internet, General, y finalmente pinche en "Usar actual".


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com