| |
VSantivirus No. 675 - Año 6 - Lunes 13 de mayo de 2002
Troj/Juntador.G. Libera cualquier tipo de código maligno
http://www.vsantivirus.com/juntador-g.htm
Nombre: Troj/Juntador.G
Tipo: Caballo de Troya
Alias: TROJ_JUNTADOR.G, Trojan.Dropper.Win32.Juntador.G
Fecha: 7/may/02
Plataforma: Windows
Tamaño: 1,032,704 bytes
Es un troyano escrito en Borland Delphi, que transporta y libera otro troyano en el sistema infectado. No posee por si mismo ninguna rutina destructiva, ni queda residente en memoria.
El troyano se activa al ser ejecutado por el propio usuario, en forma accidental, o al ser engañado éste en forma premeditada para hacerlo.
Al ejecutarse, despliega una serie de ventanas de mensajes con el siguiente texto:
VBScript
Windows Update Successfully Installed
Please restart your computer
[ OK ]
Mientras, el troyano libera los siguientes archivos:
win32_dll.vbs
win32.dll
core.dll
moo.dll
shel32.dll
sys32.dll
update.dll
io32.ini
pepsi.vbs
startup.vbs
icmp.vbs
igmp.vbs
taskmgr.exe
Luego, modifica el registro para poder cargarse al reiniciarse Windows:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
taskmgr.exe = C:\Windows\System\taskmgr.exe
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
taskmgr.exe = C:\Windows\System\taskmgr.exe
En la lista de archivos, existen algunos que no contienen código malicioso, entre ellos el ejecutable del programa de chat mIRC, pero con un nombre diferente, y otros archivos (.DLL, etc.) necesarios para el funcionamiento del mIRC.
Las funciones de los demás archivos puede variar de acuerdo a la versión recibida. Este troyano puede contener cualquier tipo de código maligno (o no), ya que existe una herramienta en Internet que permite crearlo, agregando cualquier tipo de archivo (con virus o no).
Note que aunque el troyano no puede transmitirse por si solo vía e-mail, nada impide que pudiera ser enviado conscientemente (o mediante engaños) en un mensaje, por lo que se sugiere precaución antes de ejecutar cualquier nuevo archivo recibido por este medio.
También podría llegar a la computadora de la víctima al ser descargado de Internet, o copiado de disquetes, CDs, etc.
Reparación manual
Para reparar manualmente la infección provocada por este virus, proceda de la siguiente forma:
1. Actualice sus antivirus
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros
3. Borre los archivos detectados como infectados por el virus
4. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
5. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
6. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
taskmgr.exe
7. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_USERS
\.DEFAULT
\Software
\Microsoft
\Windows
\CurrentVersion
\Run
8. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:
taskmgr.exe
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
