Spy.Monstres.A. Roba información de Monster.com

VSantivirus No 2528 Año 11, viernes 24 de agosto de 2007

Spy.Monstres.A. Roba información de Monster.com
http://www.vsantivirus.com/spy-monstres-a.htm

Nombre: Spy.Monstres.A
Nombre NOD32: Win32/Spy.Monstres.A
Tipo: Caballo de Troya
Alias: Spy.Monstres.A, Win32/Spy.Monstres.A
Fecha: 23/ago/07
Plataforma: Windows 32-bit
Tamaño: 153,600 bytes

Caballo de Troya que roba información de usuarios del sitio Monster.com, la web donde se intercambian ofertas y solicitudes de trabajo.

Para acceder a esa información, el troyano puede interceptar y redirigir el tráfico de Internet.

Para ello, primero descarga la configuración de una cuenta proporcionada por el atacante desde un determinado servidor remoto, y luego, desde el equipo infectado se conecta al sitio para obtener datos como nombre, dirección electrónica y teléfonos, de todas las ofertas disponibles.

La información capturada es almacenada, y luego enviada al sitio del atacante, el cuál puede variar.

También puede descargar instrucciones y configuraciones para el envío de spam desde el equipo infectado.

Cuando se ejecuta por primera vez, examina la PC en busca del ejecutable OUTPOST.EXE (Outpost Firewall), y se copia a si mismo con el siguiente nombre y ubicación, y un tamaño al azar (generado con código basura que se agrega al ejecutable propiamente dicho):

c:\windows\system32\ntos.exe

También crea la carpeta WSNPOEM con atributos de oculta y del sistema, y genera allí los siguientes archivos para almacenar la información robada y los datos de configuración que descarga:

c:\windows\system32\wsnpoem\audio.dll
c:\windows\system32\wsnpoem\video.dll

NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).

Crea o modifica las siguientes claves del registro, para autoejecutarse en cada reinicio de Windows:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
pathx = [nombre y camino del troyano]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = "c:\windows\system32\userinit.exe, c:\windows\system32\ntos.exe"

La siguiente clave del registro es creada como marca de infección:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\network
UID = [nombre del equipo y código al azar]

El troyano inyecta su código en los siguientes procesos:

SVCHOST.EXE
WINLOGON.EXE

Para inyectarse en dichos procesos, el troyano intercepta funciones de NTDLL.DLL (DLL de la capa de Windows NT).

También intenta crear hilos de ejecución en todos los procesos en ejecución, excepto CSRSS.EXE (Client Server Runtime Process).

El código inyectado, actúa como rootkit, monitoreando la actividad del propio troyano, y previniendo que su código y las claves del registro creadas sean borradas, reconstruyéndolas si ello ocurre.

También se engancha a funciones de las siguientes bibliotecas de Windows, para acceder a Internet, y para robar la información antes mencionada:

WININET.DLL
WS2_32.DLL
WSOCK32.DLL

Reparación manual

NOTA: Esta descripción se aplica a una variante específica de un determinado malware. Pueden existir numerosas versiones, detectadas por ESET NOD32 con el mismo nombre, que no necesariamente realizarán los mismos cambios en el sistema que aquí se describen.

Antivirus

1. Actualice su antivirus. En el caso de ESET NOD32, seleccione el Control Center, Módulos de actualización, NOD32 Update y haga clic en el botón "Actualizar ahora". Compruebe que la versión de firmas de virus sea la misma que aparece en http://www.nod32.com.uy o en http://www.vsantivirus.com/nod32.htm

2. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

3. Borre los archivos temporales como se indica en el siguiente enlace:

Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm

4. Seleccione la opción "Analizar y Desinfectar automáticamente" en su antivirus. En el caso de ESET NOD32, seleccione Control Center, NOD32 Scanner, haga clic en el botón "NOD32 Scanner", seleccione la casilla "Local", y haga clic en el botón "Analizar y desinfectar".

5. En el caso de NOD32, haga clic en el botón "Desinfectar" cuando aparezca, o en el botón "Eliminar" cuando el botón "Desinfectar" no esté activo. En cualquier otro caso, el antivirus le dará el mensaje "sin acciones" y la limpieza se efectuará al reiniciar.

6. Tome nota del nombre de los archivos desinfectados o eliminados.

7. Reinicie la computadora.

8. Vuelva a ejecutar la opción "Analizar y Desinfectar automáticamente".

Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Network

3. Haga clic en la carpeta "Network" y busque y borre la siguiente entrada:

UID = [nombre del equipo y código al azar]

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

5. Haga clic en la carpeta "Winlogon" y busque y borre la siguiente entrada:

pathx = [nombre y camino del troyano]

6. También en la carpeta "Winlogon" y en el panel de la derecha, busque la entrada "Userinit" bajo la columna "Nombre". Modifique el valor de "Userinit" para que aparezca solo esto:

C:\WINDOWS\system32\userinit.exe,

7. Cierre el editor del registro.

8. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

Borrar archivos temporales

1. Cierre todas las ventanas y todos los programas abiertos.

2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.

Nota: debe escribir también los signos "%" antes y después de "temp".

3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").

4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.

5. Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".

NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Borrar Archivos temporales de Internet

1. Vaya al Panel de control, Opciones de Internet, General

2. En Archivos temporales de Internet haga clic en "Eliminar archivos"

3. Marque la opción "Eliminar todo el contenido sin conexión"

4. Haga clic en Aceptar, etc.

Información adicional

Mostrar las extensiones y ver todos los archivos
http://www.vsantivirus.com/faq-mostrar-extensiones.htm

Cómo borrar archivos temporales
http://www.vsantivirus.com/faq-borrar-temporales.htm

Cómo restaurar página de inicio y búsqueda en IE
http://www.vsantivirus.com/faq-inicio-busqueda.htm

Utilización de la Consola de Recuperación en Windows XP
http://www.vsantivirus.com/consola-recuperacion-xp.htm

Deshabilitar restauración del sistema en Windows Vista
http://www.vsantivirus.com/faq-winvista.htm

Deshabilitar restauración del sistema en Windows XP
http://www.vsantivirus.com/faq-winxp.htm

Deshabilitar restauración del sistema en Windows Me
http://www.vsantivirus.com/faq-winme.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com