Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/Sua.A. Caballo de Troya con actualizaciones via Web
 
VSantivirus No. 653 - Año 6 - Domingo 21 de abril de 2002
VSantivirus No. 661 - Año 6 - Lunes 29 de abril de 2002

Troj/Sua.A. Caballo de Troya con actualizaciones via Web
http://www.vsantivirus.com/troj-sua.a.htm

Nombre: Troj/Sua.A (Downloader-W)
Tipo: Caballo de Troya
Alias: Downloader-W, Backdoor.Autoupder, BrowseEvt, TROJ_SUA.A, Trojan.Win32.BrowseEvt, 
TrojanDownloader.Win32.Minstaller
Fecha: 9/abr/02
Fuente: NAI, Trend, KAV

Se trata de un troyano, preparado para ciertas acciones que no cumple, por no estar activo el sitio al que hace referencia su código, y del cuál se descarga el resto de los componentes que supuestamente se requieren.

No obstante ello, el troyano tiene la habilidad de instalar, ejecutar y borrar archivos en la computadora infectada.

El troyano consta de estas partes:

MNSVC.EXE (20,480 bytes) - Este ejecutable (que aparentemente es el primero que es enviado a la supuesta víctima) descarga el componente AUSVC.EXE del sitio http:/ /www.wwws1.com/. En su código contiene el texto: "MinStaller Mutex".

AUSVC.EXE (57,344 bytes) - Se encarga de descargar al resto de los componentes del troyano. En su código puede leerse la leyenda "Autoupdater Mutex".

BVT.EXE (114,760 bytes) - Es un plugin para el Internet Explorer. Contiene el texto "BrowserEvt".

ABSR.EXE (118,858 bytes) - Se trata de otro plugin para el Internet Explorer. El texto visible en su código es "AutoBrowser".

AUUPG.EXE (69,632 bytes) - En principio, aparenta ser similar al componente AUSVC.EXE, pero no incluye el mismo texto en su código.

El troyano crea las siguientes claves en el registro:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mnsvc = C:\Windows\mnsvc.exe

Si se descargan e instalan los demás componentes:

Para ausvc.exe:

HKLM\Software\Microsoft\Windows\Currentversion\Run
ausvc = C:\Windows\ausvc.exe

HKCR\CLSID\{F53C844A-D9C8-4E92-B923-C05B46C4A7E3} 
HKCR\CLSID\{FBE091E5-DF43-4FFB-AECC-7E3A3BC7B0D9}

Para ABsr.exe:

HKLM\Software\Microsoft\Windows\Currentversion\Run
ABsr = C:\Windows\absr.exe

HKCR\AppID\ABsr.EXE

HKCR\AppID\{9A05FE9B-5B52-4D13-A77D-FA7C38557A8E}
HKCR\CLSID\{6541B981-2E27-46B1-A2CC-8264A75B74FE}
HKCR\CLSID\{C76BE992-2BC3-41A4-8B87-A8C01FE419A7}
HKCR\TypeLib\{C423B212-02B3-41CF-BE3A-532CE28180CD}

Para bvt.exe:

HKLM\Software\Microsoft\Windows\Currentversion\Run
SysScan = C:\Windows\bvt.exe

HKCR\AppID\bvt.EXE

HKCR\AppID\{8B034058-08B0-4CB3-B2E8-60238B4967F2}
HKCR\CLSID\{868B015F-3515-44DB-B0AD-182CD058985E}
HKCR\CLSID\{9E2099A5-9483-43fe-92D1-68DBFBE968A2}
HKCR\TypeLib\{6D8B1B74-4AB8-473B-B479-253FA1936802}

Cómo el funcionamiento del troyano está supeditado a la disponibilidad y modificación de los archivos descargados, la funcionalidad del troyano puede variar en futuras actualizaciones.

Para quitar el troyano de un sistema infectado, elimine las entradas "mnsvc", "ausvc", "ABsr" y "SysScan" de la rama del registro: HKEY_LOCAL_MACHINE, \SOFTWARE, \Microsoft, \Windows, \CurrentVersion, \Run, y luego ejecute un antivirus al día.

La presencia del componente MNSVC.EXE, es la que parece provocar luego la infección con el resto del troyano, por lo que se pide precaución a la hora de descargar o de ejecutar archivos descargados de sitios que no han sido comprobados.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS