Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Troj/WbeCheck. Un espía en el Internet Explorer
 
VSantivirus No. 687 - Año 6 - Sábado 25 de mayo de 2002

Troj/WbeCheck. Un espía en el Internet Explorer
http://www.vsantivirus.com/wbecheck.htm

Nombre: Troj/WbeCheck
Tipo: Caballo de Troya (Spyware)
Alias: Trojan.Win32.WbeCheck, pbsysie.dll, Floid.dll
Fecha: 20/abr/02
Fuente: Kaspersky, NAI, F-Secure

Este troyano instala un componente (pbsysie.dll), identificado como Floid.dll por algunos antivirus, que se integra al Internet Explorer como un objeto de ayuda --Browser Helper Object--) el cuál monitorea y altera las solicitudes HTTP, filtrando algunas páginas y haciendo algunos cambios en el tráfico. Lo instala un ejecutable detectado como Floid.DR o WbeCheck por cualquier antivirus actualizado.

Cuando el troyano se ejecuta, el DLL se instala en forma silenciosa. Primero, el troyano se copia a la carpeta C:\Windows como wbeCheck.exe, y luego modifica el registro para ejecutarse en cada reinicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CCB Enhancement = %WinDir%\wbeCheck.exe !!

Cuando pbsysie.dll es creado en el directorio Windows, un archivo .INI también es creado (su nombre varía), el cuál guarda cierta identificación del usuario.

Un síntoma de su presencia en una computadora infectada, es la existencia de los archivos wbeCheck.exe y pbsysie.dll en la carpeta de Windows:

C:\Windows\wbeCheck.exe
C:\Windows\pbsysie.dll

Note que se trata de un programa maligno, no un virus ni un gusano, que pueda propagarse por si solo. Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, obligando por medio de engaños a su ejecución. También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad.

Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.


Cómo borrar manualmente el troyano


Para borrar manualmente el troyano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

Luego, siga estos pasos:

1. Utilizando el Explorador de Windows, busque y borre estos archivos en la carpeta C:\Windows (o donde tenga instalado el sistema operativo):

wbeCheck.exe
pbsysie.dll

3. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter

4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

7. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que coincida con lo siguiente:

CCB Enhancement         %WinDir%\wbeCheck.exe !!

8. Pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar esa clave.

9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

11. Ejecute uno o más antivirus al día para revisar todos sus discos duros.


Notas

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS