Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
W32/Benpao.Trojan. Roba contraseñas, altera el registro
 
VSantivirus No. 957 - Año 7 - Miércoles 19 de febrero de 2003

 W32/Benpao.Trojan. Roba contraseñas, altera el registro
http://www.vsantivirus.com/benpao.htm

Nombre: W32/Benpao.Trojan
Tipo: Caballo de Troya
Alias: W32.Benpao.Trojan
Fecha: 17/feb/03
Tamaño: 49,664 bytes
Plataforma: Windows 32-bits

Este troyano, escrito en Visual Basic y comprimido con la utilidad UPX, roba las contraseñas y otra información sensible (login del usuario, etc.) del usuario infectado, y las envía a un atacante remoto vía e-mail.

También modifica el registro para que cada vez que se intente ejecutar un archivo con alguna de las siguientes extensiones, se ejecute antes el propio troyano:

.chm
.exe
.ini
.reg
.scr
.txt

Cuando el troyano se ejecuta, realiza las siguientes acciones:

1. Se copia a si mismo en las siguientes carpetas, todas bajo la unidad C:

C:\%dir%\.exe
C:\%dir%\d.exe
C:\%dir%\e.exe
C:\%dir%\f.exe
C:\%dir%\w.exe
C:\%dir%\kx.exe

La variable "%Dir%" puede ser cualquier carpeta en la unidad C:

2. Se copia a si mismo en la carpeta System de Windows y luego se ejecuta:

C:\Windows\System\ExploreB.exe

"C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP).

3. También se agrega a la siguiente rama del registro para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ExplorerBen = C:\%dir%\kx.exe

4. Cambia los siguientes valores del registro de Windows:

HKLM\Software\Classes\chm.file\shell\open\command
(Predeterminado) C:\%dir%\.exe

HKLM\Software\Classes\scrfile\shell\open\command
(Predeterminado) C:\%dir%\d.exe %1

HKLM\Software\Classes\regfile\shell\open\command
(Predeterminado) C:\%dir%\w.exe %1

HKLM\Software\Classes\exefile\shell\open\command
(Predeterminado) C:\%dir%\d.exe %1 %

HKLM\Software\Classes\txtfile\shell\open\command
(Predeterminado) C:\%dir%\F.exe %1

HKLM\Software\Classes\inifile\shell\open\command
(Predeterminado) C:\%dir%\e.exe %1

5. Crea el archivo de texto "C:\DebugFI", donde almacena la información acerca de los archivos que el troyano copia en la computadora infectada.

6. Intenta finalizar cualquier proceso en memoria relacionado con estos nombres:

kav9x.exe
kavsvc9x.exe
kavsvcui.exe
smenu.exe
ravmon.exe
watcher.exe

7. Intenta enviar la información previamente robada del sistema a un atacante remoto, a través del correo electrónico. Esta información consiste en nombre de usuario, contraseñas, y alguna otra clase de material que usted desearía mantener en secreto o en forma confidencial en su sistema.


Reparación manual

Antivirus

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados


Editar el registro

Debido a que el gusano modifica el registro para que no se puedan ejecutar los archivos .EXE, se debe hacer una copia del editor del registro con la extensión .COM antes de ejecutarlo.

1. Pinche en "Inicio", "Ejecutar", escriba lo siguiente y pulse Enter:

command

Se abrirá una pantalla de MS-DOS

2. Escriba los siguientes comandos y pulse Enter al final de cada línea:

- En Windows 95, 98, Me y XP teclee:

cd\
cd Windows

- En Windows NT y 2000 teclee:

cd\
cd Winnt

En todos los sistemas, teclee luego:

copy regedit.exe regedit.com
start regedit.com

Se deberá abrir el editor del registro.

3. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

4. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

ExplorerBen

5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Classes
\chm.file
\shell
\open
\command

6. Pinche en la carpeta "command" y seleccione "(Predeterminado)".

Cambie "C:\%dir%\.exe" por "C:\Windows\hh.exe %1"

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Classes
\scrfile
\shell
\open
\command

6. Pinche en la carpeta "command" y seleccione "(Predeterminado)".

Cambie "C:\%dir%\d.exe %1" por "%1 /s"

7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Classes
\regfile
\shell
\open
\command

6. Pinche en la carpeta "command" y seleccione "(Predeterminado)".

Cambie "C:\%dir%\w.exe %1" por "regedit.exe %1"

8. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Classes
\exefile
\shell
\open
\command

9. Pinche en la carpeta "command" y seleccione "(Predeterminado)".

Cambie "C:\%dir%\d.exe %1 %" por "%1 %"

10. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Classes
\txtfile
\shell
\open
\command

11. Pinche en la carpeta "command" y seleccione "(Predeterminado)".

Cambie "C:\%dir%\F.exe %1" por "C:\Windows\Notepad.exe %1"

12. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\Software
\Classes
\inifile
\shell
\open
\command

13. Pinche en la carpeta "command" y seleccione "(Predeterminado)".

Cambie "C:\%dir%\e.exe %1" por "C:\Windows\Notepad.exe %1"

14. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

15. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional
Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS