|
VSantivirus No. 774 - Año 6 - Miércoles 21 de agosto de 2002
Troj/Adnap. Simula ser el antivirus Panda
http://www.vsantivirus.com/adnap.htm
Nombre: Troj/Adnap
Tipo: Caballo de Troya
Alias: Trojan.Adnap
Fecha: 19/ago/02
Tamaño: 329,216 bytes
Plataforma: Windows 32-bits
Este troyano se disfraza como un conocido antivirus (Panda), e intenta una conexión
TCP/IP a una página Web hospedada en www.geocities.com. Para ello habilita el
puerto 20480.
El troyano debe ser ejecutado por el usuario de la computadora para activarse. Si ello ocurre, el mismo modifica el archivo
Autoexec.bat para copiarse en el sistema al reiniciarse éste (solo Windows 95 y 98).
@copy
[nombre del troyano]
C:\Windows\FPanda.exe
No funciona si la ubicación de Windows es diferente a
C:\Windows.
También crea las siguientes entradas en el registro, para autoejecutarse en cada reinicio:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
APVXD = C:\Windows\FPanda
APVXDWin =
[nombre y ubicación original del troyano]
El troyano requiere la acción directa del usuario damnificado para su ejecución (doble clic sobre el archivo), por lo que suele usarse en forma premeditada por algunos atacantes, obligando por medio de engaños a su ejecución. También puede ser descargado de sitios maliciosos, disfrazado de alguna utilidad que despierte nuestra curiosidad.
Como siempre, se recomienda no abrir archivos enviados sin su consentimiento, ni ejecutar nada descargado de Internet o cuya fuente sean disquetes, CDs, etc., sin revisarlo antes con uno o dos antivirus al día.
Para quitar el troyano de su sistema, solo borre el ejecutable (puede tener cualquier nombre). Para identificarlo, utilice un antivirus al día para examinar todos los archivos de su disco duro.
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre las siguientes entradas:
APVXD
APVXDWin
4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Editar el archivo AUTOEXEC.BAT
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse OK.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de
c:\autoexec.bat
3. Borre la siguiente línea si ésta existiera:
@copy
[nombre del troyano]
C:\Windows\FPanda.exe
4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.
Notas
Además de lo explicado en este artículo, recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de algún troyano con Internet, así como un intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
VSantivirus No. 117 - 2/nov/00
Zone Alarm - El botón rojo que desconecta su PC de la red
http://www.vsantivirus.com/za.htm
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|