|
VSantivirus No. 687 - Año 6 - Sábado 25 de mayo de 2002
Troj/WbeCheck. Un espía en el Internet Explorer
http://www.vsantivirus.com/wbecheck.htm
Nombre: Troj/WbeCheck
Tipo: Caballo de Troya (Spyware)
Alias: Trojan.Win32.WbeCheck, pbsysie.dll, Floid.dll
Fecha: 20/abr/02
Fuente: Kaspersky, NAI, F-Secure
Este troyano instala un componente (pbsysie.dll), identificado como Floid.dll por algunos antivirus, que se integra al Internet Explorer como un objeto de ayuda --Browser Helper Object--) el cuál monitorea y altera las solicitudes HTTP, filtrando algunas páginas y haciendo algunos cambios en el tráfico. Lo instala un ejecutable detectado como
Floid.DR o WbeCheck por cualquier antivirus actualizado.
Cuando el troyano se ejecuta, el DLL se instala en forma silenciosa. Primero, el troyano se copia a la carpeta
C:\Windows como wbeCheck.exe, y luego modifica el registro para ejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CCB Enhancement = %WinDir%\wbeCheck.exe !!
Cuando pbsysie.dll es creado en el directorio
Windows, un archivo .INI también es creado (su nombre varía), el cuál guarda cierta identificación del usuario.
Un síntoma de su presencia en una computadora infectada, es la existencia de los archivos
wbeCheck.exe y pbsysie.dll en la carpeta de Windows:
C:\Windows\wbeCheck.exe
C:\Windows\pbsysie.dll
Note que se trata de un programa maligno, no un virus ni un gusano, que pueda propagarse por si solo. Requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, obligando por medio de engaños a su ejecución. También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad.
Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Cómo borrar manualmente el troyano
Para borrar manualmente el troyano, reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Luego, siga estos pasos:
1. Utilizando el Explorador de Windows, busque y borre estos archivos en la carpeta C:\Windows (o donde tenga instalado el sistema operativo):
wbeCheck.exe
pbsysie.dll
3. Seleccione Inicio, Ejecutar, teclee REGEDIT y pulse Enter
4. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run
7. Pinche sobre la carpeta "Run". En el panel de la derecha pinche sobre la entrada que coincida con lo siguiente:
CCB Enhancement
%WinDir%\wbeCheck.exe !!
8. Pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar esa clave.
9. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
11. Ejecute uno o más antivirus al día para revisar todos sus discos duros.
Notas
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|