Troj/Grador. Se copia en C:\Windows como Sistrai2.exe

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 772 - Año 6 - Lunes 19 de agosto de 2002

Troj/Grador. Se copia en C:\Windows como Sistrai2.exe
http://www.vsantivirus.com/grador.htm

Nombre: Troj/Grador
Tipo: Caballo de Troya, robador de passwords
Alias: TROJ_GRADOR.DR1, Trojan.Logado.A, W32/Grador, Trojan.PSW.EBTReporter.20.b, W32/Grador.dr, Win32.Quem, Win32/Grado.Worm, Win32:Envia
Fecha: 25/jul/02
Origen: Sudamérica
Tamaño: 59,904 bytes

Este troyano está programado en Visual Basic y requiere la presencia de las librerías MSVBVM50.DLL (Visual Basic Virtual Machine) y MSWINSCK.OCX (control ActiveX Microsoft Winsock Control DLL) para su funcionamiento.

El ejecutable se presenta con el icono de un emoticón (una carita sonriente)

Este troyano puede ser copiado en una computadora a través de la acción de otro troyano del tipo 'dropper' (algunos antivirus lo identifican como W32/Grador.dr).

Cuando el troyano se ejecuta, el mismo se copia en la carpeta de Windows con el nombre de SISTRAI2.EXE:

C:\Windows\Sistrai2.exe

Después, modifica el registro para ejecutarse en cada reinicio de la computadora:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Norton = C:\Windows\Sistrai2.exe

Cada vez que la computadora se reinicia, el troyano se carga en memoria, obtiene la dirección IP actual y el nombre de la computadora infectada, y envía esta y otra información crítica como los nombres de usuario y contraseñas del acceso telefónico a redes junto a otros datos relacionados con la conexión, a una dirección electrónica supuestamente perteneciente al autor del troyano.

En el código del troyano puede encontrarse el siguiente texto:

GRAMPEADOR

Un cortafuegos como ZoneAlarm, detecta el intento de conexión a Internet del archivo SISTRAI2.EXE.

El archivo original puede tener cualquier nombre al arribar a nuestra computadora, acción que puede ser camuflada intencionalmente por quien quiera instalar el troyano en la misma mediante engaños.

Más información:

VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm

Reparación manual

1. Actualice sus antivirus

2. Ejecútelos en modo escaneo, revisando todos sus discos duros

3. Borre los archivos detectados como infectados

Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

Norton = C:\Windows\Sistrai2.exe

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm

Glosario:

DROPPER (cuentagotas) - Es un archivo que cuando se ejecuta "gotea" o libera un virus (o troyano). Un archivo "dropper" tiene la capacidad de crear un virus e infectar el sistema del usuario al ejecutarse. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com