C:\Windows\System\TASKSVR32.EXE

También crea una librería de ayuda en la misma carpeta:

C:\Windows\System\COOLX.DLL

El archivo original en donde se recibió el troyano, es borrado.

También se modifica el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Microsoft Task Manager = tasksvr32.exe

Con este cambio, el troyano se ejecuta en cada reinicio de Windows. Cuando se establece una conexión a Internet, es abierto el puerto TCP/IP 10452, y la cuenta POP3 (1) por defecto, es reconfigurada para rutear el correo entrante a través del troyano por el puerto 127.1.

De esta forma, el troyano es quien recibe todos los mensajes robando toda la información de la cuenta POP3 de la víctima.

Además de ello, la información del sistema de la computadora infectada (memoria RAM, espacio en disco, velocidad del procesador), y todos las contraseñas guardadas en el caché de Windows, es enviada a una dirección de e-mail con el dominio "mail.ru".

Esta información es la siguiente:

• Nombre de la computadora
• Nombre del usuario
• Valores de RegisteredOwner y RegisteredOrganization
• Información del hardware instalado
• Recursos de la red y modo de acceso
• Dirección IP
• Información de los accesos telefónicos a redes y todas las contraseñas guardadas en el caché de Windows
• Nombres de usuario y contraseñas de otros accesos a Internet
• Información del ICQ
• Información de WebMoney y archivos de datos

También agrega al registro estas claves, con información en hexadecimal, que usa para su propio control:

HKCU\Software\Microsoft\DirectX
DRMInstallFocus = [valor en hexadecimal]
DRMInstallPlace = [valor en hexadecimal]
DRMUpdateFocus = [valor en hexadecimal]
DRMUpdatePlace = [valor en hexadecimal]
DRMVersion = [valor en hexadecimal]

El troyano permanece activo en memoria como un proceso de servicio oculto en la lista de tareas.

Como dijimos antes, otra de las características de este troyano, es la de poder descargar de Internet actualizaciones del mismo, y reemplazarse a si mismo por las nuevas versiones.

Las actualizaciones se producen ante determinadas condiciones. En ese caso, el troyano descarga de diferentes sitios de Internet un archivo con el nombre RTTY32.EXE, y lo guarda en esta ubicación, antes de ejecutarlo:

C:\Windows\System\RTTY32.EXE

Este archivo contiene las nuevas versiones del troyano, las que pueden agregar cualquier nuevo tipo de funcionalidad.

Las versiones conocidas pueden ser bajadas de estos sitios (no activos):

sfavp.chat.ru/update
widpage.chat.ru/update

Algunas de las versiones conocidas, puede sobrescribir el archivo C:\AUTOEXEC.BAT con un troyano capaz de ejecutar el comando "format C:" para formatear el disco duro en el próximo reinicio del sistema.

También pueden ejecutar el Internet Explorer y abrir una de las siguientes páginas:

http://vrs.ru
http://ebooks.vov.ru
http://3w.ozonebooks.com

Además, pueden ejecutar ataques de negación de servicio (DoS) (2) al sitio http://www.ibm.com

El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.

Se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet, sin revisarlo antes con uno o dos antivirus al día.

Recomendamos además, utilizar un programa tipo firewall (o cortafuego) como el ZoneAlarm (ver "VSantivirus No. 117 - Año 4 - Jueves 2 de noviembre de 2000, Zone Alarm - El botón rojo que desconecta su PC de la red"), que detendrá y advertirá la conexión del troyano con Internet.


Como sacar el virus de un sistema infectado

Para eliminar el virus manualmente, siga estos pasos:

1. Primero ejecute un antivirus al día.

2. Use REGEDIT para borrar las claves agregadas en el registro. Para ello, desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter.

3. Luego, en el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
software
Microsoft
Windows
CurrentVersion
Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:

Microsoft Task Manager

5. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
Software
Microsoft
DirectX

6. Pinche en la carpeta "DirectX" y bórrela.

7. Finalmente, utilice el menú "Registro", "Salir" para salir del editor y confirmar los cambios, y reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

8. Si aún existen, borre los siguientes archivos:

C:\Windows\System\TASKSVR32.EXE
C:\Windows\System\COOLX.DLL
C:\Windows\System\RTTY32.EXE

9. Modifique la configuración POP3 de su cuenta de correo, de modo que sea la asignada por su proveedor. En el Outlook Express esto se encuentra en Herramientas, Cuentas, Correo, Propiedades, Servidores, Correo entrante (POP3).


Usuarios de Windows Me

Para limpiar el sistema en Windows Me, deberá deshabilitar la herramienta "Restaurar sistema" como se indica a continuación, y luego correr un antivirus en "Modo a prueba de fallos", iniciando la PC con la tecla CTRL pulsada hasta que aparezca la pantalla para seleccionar esta opción.

Cómo deshabilitar la herramienta "Restaurar sistema" en Windows Me

1. Pulse con el botón derecho sobre el icono Mi PC del escritorio
2. Pinche en la lengüeta "Rendimiento"
3. Pinche sobre el botón "Sistema de archivos" en "Configuración avanzada"
4. Seleccione la lengüeta "Solución de problemas"
5. Marque la casilla "Deshabilitar Restaurar sistema"
6. Pinche en el botón "Aplicar"
7. Pinche en el botón "Cerrar" de Propiedades de Sistema de archivos
8. Pinche en el botón "Cerrar" de Propiedades de Sistema
9. Cuando se le pregunte si desea reiniciar el sistema conteste que SI

De este modo la utilidad "Restaurar sistema" quedará deshabilitada

Luego reinicie la computadora en "Modo a prueba de fallos" (pulse F8 o mantenga CTRL pulsada al reiniciar la computadora), y ejecute un antivirus al día para borrar los archivos infectados.

Para volver a habilitar la herramienta "Restaurar sistema", reitere los pasos anteriores, desmarcando la casilla "Deshabilitar Restaurar sistema" en el punto 5.


Glosario:

(1) POP3 (Post Office Protocol 3) - Es la tercera versión del protocolo de oficinas de correos en Internet. Permite que los mensajes de correo electrónico sean enviados a un servidor sin que el destinatario esté en ese momento conectado a Internet. El mensaje es almacenado por el servidor (POP3), en el buzón del destinatario, el cuál debe estar registrado como usuario. Cuando este usuario desea leer su correo, sólo debe conectarse a Internet, acceder a su servidor POP3, y si su contraseña es válida, a los contenidos de su casilla.

(2) D.o.S - Un ataque de D.o.S (Denial of Service, o negación de servicio), hace que los servidores o cualquier computadora conectada a Internet, reciban una sucesión de solicitudes de servicio, con tal frecuencia y cantidad, que al no poder ser respondidas van disminuyendo paulatinamente su rendimiento, ocasionando casi siempre la caída del sistema, además de la saturación del ancho de banda asignado.


Ver también:

VSantivirus No. 318 - 22/may/01
W32/Trojan.Eurosol. Mete las manos en sus bolsillos

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red

Fuente: Kaspersky Labs, Network Associates
(c) Video Soft - http://www.videosoft.net.uy