c:\windows\system32\ASH.DLL

También puede ser descargado por el propio usuario desde Internet, generalmente pensando se trata de una utilidad legítima.

El troyano "Small.AIN" también registra al DLL de "Banker.JV" como un objeto BHO (Browser Helper Object). Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados.

Para ello, crea las siguientes entradas en el registro:

HKCR\CLSID\{C6176B04-8896-4446-9939-E00EE94C420F}
HKCR\AntiSpy.AntiSpy
HKCR\AntiSpy.AntiSpy.1

El DLL se registra como una interfase llamada "IIEHlprObj" (Interface), y como un tipo de biblioteca llamada "AS 0.96 Type Library" (TypeLib):

HKCR\Interface\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}
HKCR\TypeLib\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}

También modifica la página de inicio del Internet Explorer, creando las siguientes entradas:

HKCU\Software\Microsoft\Internet Explorer\Main
Start Page = about:blank

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main
Start Page = about:blank

El troyano intenta desregistrar y borrar el DLL llamado IEHELPER.DLL, perteneciente a Windows.

Después de su ejecución, el troyano examina si el "Microsoft Windows AntiSpyware" está instalado en el sistema. Si lo encuentra, intenta finalizarlo y borrar todos los archivos relacionados con dicha aplicación.

Para ello, finaliza los siguientes procesos:

gcascleaner
gcasdtserv
gcasinstallhelper
gcasnotice
gcasserv
gcasservalert
gcasswupdater
gciptohostqueue
giantantispywaremain
giantantispywareupdater

"Microsoft Windows AntiSpyware" normalmente se instala en "C:\Archivos de programa\Microsoft Antispyware". Los archivos de dicha carpeta también son borrados por el troyano.

También remueve la clave "GcasServ" del registro que "Microsoft Windows AntiSpyware" utiliza para autoejecutarse en cada reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
GcasServ= "c:\archivos de programa\Microsoft AnttiSpyware\gcasServ.exe"

El troyano intenta robar información relacionada con las transacciones comerciales y bancarias del usuario infectado. Para ello monitorea las transacciones cuando éste ingresa a cualquiera de estos sitios de banca on-line (esto incluye bancos como Barclays, Cahoot, Halifax, HSBC, Lloyds TSB, Nationwide, NatWest, Smile, etc.):

https:/ /ibank .barclays .co .uk
https:/ /ibank .cahoot .com
https:/ /olb2 .nationet .com
https:/ /online .lloydstsb .co .uk
https:/ /www .bankofscotlandhalifax-online .co .uk
https:/ /www .ebank .hsbc .co .uk
https:/ /www .ebank .hsbc .co .uk
https:/ /www .millenniumbcp .pt
https:/ /www .ukpersonal .hsbc .com

Cuando ello ocurre, el troyano despliega una página HTML falsa, para engañar al usuario, que creyendo estar en el sitio verdadero, ingresa la información relacionada con sus cuentas bancarias, etc. Luego genera los siguientes archivos en la carpeta de Windows, para almacenar la información robada:

c:\windows\Email.log
c:\windows\Pass.log
c:\windows\Req.log

La información capturada, es luego enviada periódicamente a un servidor FTP remoto.

Modifica el archivo HOSTS agregando las siguientes cadenas, algunas de ellas para que no se pueda acceder a determinados sitios desde una máquina infectada:

.ac.at
.ac.nz
.ac.uk
.at/
.de/
.edu
.o2.co.uk
.sok
.ust.hk
012.net
acadiau.ca
adaptec.com
adultfriendfinder.com
advisor.com
ains.com.au
aircanada.ca
a-net.com
apple.com
ariba.com
authorize.net
ba-ca.com
banking.bawag.com
bearshare.com
betbanking.com
bigpond.net.au
billerweb.com
bnpparibas.net
c1hrapps.com
cablebg.net
campoints.net
canon-europe.com
carleton.ca
cic.gc.ca
comcast.net
cometsystems.com
customersvc.com
datasvit.net
delawarenorth.com
delias.com
deluxepass.com
dell
directnic.com
directsex.com
douglas.bc.ca
earthport.com
ebankas.vb.lt
ebay
ecompanystore.com
elance.com
element5.com
elsevier
emetrix.com
e-registernow.com
esdlife.com
europeonline.com
eutelsat.net
ezpeer.com
farlep.net
flextronics.com
fredericks.com
freedom.net
game
gevalia.com
gigaisp.net
go-fia.com
guidehome.com
hilton.com
hku.hk
hkuspace.org
hostdozy.com
hotbar.com
hp.com
https
https://
ibm.com
icq.com
idx.com.au
ihost.com
iinet.net.au
imrworldwide.com
indigosp.com
infusion-studios.com
ingrammicro.com
inlandrevenue.gov.uk
intel.com
intuitcanada.com
iprimus.com.au
kent.net
konetic.org
kundenserver.de
lanck.net
liveperson.net
lkw-walter.com
look.ca
macau.ctm.net
maximonline.com
mcafee.com
mcgill.ca
mcmaster.ca
medibank.com.au
mgm-mirage.com
microsoft.com
monster.com
mouse2mobile.com
music
mysylvan.com
nacelink.com
netbilling.com
netfirms.com
netspeed.com.au
nike.com.hk
northeast.on.ca
novuslink.net
nwa.com
nzqa.govt.nz
o2online.de
oberon-media.com
onba.zkb.ch
onlineaccess.net
optusnet.com.au
opusit.com.sg
orcon.net
ordering.co.uk
oztralia.com
playstation.com
preschoicefinancial.com
prudential.com.hk
puma.com
queensu.ca
quickbooks.com
raiffeisendirect.
rba.hr
recruitsoft.com
register.com
reuters.com
rogers.com
safeform.com
safesite.com
salesforce.com
sammikk.com
samsunggsbn.com
sap-ag.de
sbc.com
s-central.com.au
sciamdigital.com
scicollege.org.sg
searchfit.org
seatbooker.net
sebra.com
securecart.net
secureordering.com
secureserver.net
securewebexchange.com
securitymetrics.com
selfmgmt.com
senecac.on.ca
sephora.com
serviticket.com
sfa.prudential.com.sg
sfgov.org
shaw.ca
sheridanc.on.ca
shkcorpws5.shkp.com
shopadmin.daum.net
shoppersoptimum.ca
shopundco.com
shutterfly.com
sierraclub.org
signup.sprint.ca
silicon-power.com
simplyhotels.com
sims.sfu.ca
singaporeair.com
singnet.com.sg
site-secure.com
sms.ac
snapfish.com
soccer.com
solo3.nordea.fi
sony
soundclick.com
sparkart.com
sparknotes.com
speedera.net
spiritair.com
sportingbet.com
sportodds.com
sqnet.com.sg
srp.org.sg
ssdcl.com.sg
stanfordalumni.org
starbiz.net.sg
starhubshop.com.sg
streamload.com
supergo.com
swamp.lan
sympatico.ca
tatrabanka.sk
tbihosting.com
tdcwww.net
techdata.com
telpacific.com.au
telstra.com
telusmobility.com
tepore.com
theaa.com
there.com
thewheelconnection.com
three.com.hk
ti.com
ticketmaster.com
tickle.com
tirerack.com
tm.net.my
tmi-wwa.com
t-mobile.co.uk
t-mobile.com
towerhobbies.com
travel.com.au
travel.priceline.com
travelclub.swiss.com
travelcommunications.co.uk
trekblue.com
trivita.com
trust1.com
trustinternational.com
tsn.cc
ubc.ca
ubi.com
ucas.co.uk
ultrastar.com
unb.ca
united.intranet.ual.com
unixcore.com
uoguelph.ca
uottawa.ca
upjs.sk
ups.com
usafis.org
uscden.net
uscitizenship.info
uwaterloo.ca
uwindsor.ca
va-bank.com
vandyke.com
vasa.slsp.sk
veloz.com
victoriassecret.com
videotron.com
virginblue.com.au
virginmobileusa.com
vodafone
vodafone.co.uk
vpost.com.sg
vutbr.cz
w2express.com
walgreens.com
watchguard.com
webassign.net
webeweb.net
webtrendslive.com
webzdarma.cz
western-inventory.com
willhill.com
wn.com.au
worldgaming.net
worldwinner.com
worth1000.com
wrem.sis.yorku.ca
xs4all.nl
xtra.co.nz
yagma.com
ych.com
yes.com.hk
yesasia.com
yimg.com
yorku.ca
yourastrologysite.com
ytv.com
zoovy.com
zwallet.com

Además de la información bancaria del usuario y sus contraseñas, el troyano reune todas las direcciones de correo electrónico que se pueden encontrar en el sistema. La lista de las direcciones obtenidas es guardada en un archivo llamado EMAIL.LOG. Dichas direcciones son buscadas en documentos con las siguientes extensiones:

.htm
.txt

Relacionados:

Troj/Down.Small.AIN. Descarga y ejecuta Spy.Banker
http://www.vsantivirus.com/down-small-ain.htm


Limpieza manual

IMPORTANTE: Mientras se realiza la limpieza manual de este troyano, es importante desconectar físicamente el cable telefónico o la conexión ADSL, etc. Antes, asegúrese de tener actualizado su antivirus.


Desregistrar el componente BHO (browser helper object)

1. Cierre el Internet Explorer y cualquier otra ventanas abierta

2. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):

regsvr32  /u  ASH.DLL

3. Se puede abrir una ventana del Internet Explorer. Si es así ciérrela.

4. Apague su computadora y aguarde cinco segundos por lo menos, antes de reiniciarla en modo a prueba de errores, como se indica en el siguiente artículo:

Cómo iniciar su computadora en Modo a prueba de fallos
http://www.vsantivirus.com/faq-modo-fallo.htm

6. Desde modo a prueba de fallos, ejecute un antivirus actualizado para borrar todas las apariciones de este troyano.


Borrar manualmente archivos agregados por el virus

Desde el Explorador de Windows, localice y borre los siguientes archivos:

c:\windows\Email.log
c:\windows\Pass.log
c:\windows\Req.log
c:\windows\system32\ASH.DLL

Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".


Editar el registro

Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT

3. Haga clic en la carpeta "HKEY_CLASSES_ROOT" y borre las siguientes subcarpetas:

AntiSpy.AntiSpy
AntiSpy.AntiSpy.1

4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\CLSID
\{C6176B04-8896-4446-9939-E00EE94C420F}

5. Borre la carpeta {C6176B04-8896-4446-9939-E00EE94C420F}

6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\Interface
\{17A45F93-AEC8-440B-AC33-1BA9CC3192AC}

7. Borre la carpeta {17A45F93-AEC8-440B-AC33-1BA9CC3192AC}

8. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:

HKEY_CLASSES_ROOT
\TypeLib
\{D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}

9. Borre la carpeta {D941DA88-1DAA-4ED2-8946-ABABCF2A4C3F}

10. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

11. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Procedimiento para restaurar página de inicio en Internet Explorer

1. Cierre todas las ventanas del Internet Explorer abiertas

2. Seleccione "Mi PC", "Panel de control".

3. Haga clic en el icono "Opciones de Internet".

4. Seleccione la lengüeta "Programas".

5. Haga clic en el botón "Restablecer configuración Web"

6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.

7. Haga clic en "Aceptar".


Seleccionar la página de inicio del Internet Explorer

Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".


Restaurar archivo HOSTS

1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:

c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\

2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".

3. Borre todas las líneas que comiencen con un número, salvo las siguientes:

127.0.0.1   localhost

4. Acepte guardar los cambios al salir del bloc de notas.

5. Si utiliza algún programa anti-spyware o anti-adware que modifique el archivo HOSTS para protegerlo de ciertos parásitos, vuelva a ejecutar ese programa para actualizar el archivo HOSTS con dicha información.


Restaurar Microsoft Windows AntiSpyware

Cómo el troyano elimina dicho programa, si usted lo utiliza debe volver a reinstalarlo desde el siguiente enlace:

Microsoft Windows AntiSpyware
http://www.microsoft.com/athome/security/spyware/software/default.mspx


Sobre el componente troyano

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Información adicional

Cambio de contraseñas

En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.


Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com