|
VSantivirus No 2332 Año 10, miércoles 27 de diciembre de 2006
DNSChanger.HK. Modifica configuración servidores DNS
http://www.vsantivirus.com/dnschanger-hk.htm
Nombre: DNSChanger.HK
Nombre NOD32: Win32/DNSChanger.HK
Tipo: Caballo de Troya
Alias: DNSChanger.HK, Downloader.Zlob.DEZ, MemScan:Trojan.Dnschanger.V, Puper.dr, TR/Drop.Zlob.acn, Troj/DNSChan-JR, Troj/Zlob-XU, Trojan.DNSChanger.hk, Trojan.DR.Zlob.Gen!Pac14, Trojan.Win32.DNSChanger.hk, W32/DNSChanger.HK!tr, W32/Trojan, Win32.DNSChanger.hk, Win32.Zlob.acn, Win32/DNSChanger.HK
Fecha: 22/dic/06
Actualizado: 9/ene/07
Plataforma: Windows 32-bit
Tamaño: 115,041 bytes (BINARYRES)
Caballo de Troya capaz de modificar las direcciones IP de los servidores DNS que utiliza el equipo infectado.
DNS (o Sistema de Nombres de Dominio), es un protocolo utilizado para asignar direcciones IP (Protocolo de Internet) a nombres descriptivos.
Los proveedores de Internet suelen asignar esta configuración automáticamente (servidor DNS primario y servidor DNS secundario).
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado.
Cuando el troyano se ejecuta por primera vez, crea el siguiente archivo:
c:\windows\system32\[nombre].exe
Donde [nombre] son caracteres seleccionados al azar. Algunos ejemplos:
06800912f3b8f3ba3cc44c1188638676.exe
22943.exe
23138.exe
24330.exe
24347.exe
24363.exe
26025.exe
28066fd577c016469da9226fa7986ee9.exe
29665.exe
31281.exe
31345.exe
31614.exe
32489.exe
32788.exe
32894.exe
32929.exe
35989.exe
35fe87e86cfac1170949c61c6cb1c9fd.exe
36241.exe
36242.exe
37939.exe
485f169a419d683cbc26c2b7bf5617bf.exe
538fb8b4afbe2ccf4c6800fca6e0824e.exe
56eaf834e448644e09ce452b639e3f68.exe
871451266d7b0da8a84f2843f4e488bd.exe
8b81e66f83043a93f480d5d992a28492.exe
a4bfdda777f4d6d0a0399f4756620277.exe
d5ea3c427c78057ac1e58df2f5f7c13f.exe
dvds-access1014.exe
e7dc3582df6d88e479baddadf693faa9.exe
ipf.exe
kdcmt.exe
También puede crear el siguiente archivo:
c:\windows\system32\drivers\winut.dat
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
Crea alguna de las siguientes entradas para autoejecutarse en cada reinicio del sistema:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[nombre].exe = "c:\windows\system32\[nombre].exe"
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
System = "kdcmt.exe"
Para modificar la configuración de los servidores DNS, cambia la siguiente entrada del registro:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
NameServer = "[dirección IP 1] [dirección IP 2]"
Donde [dirección IP] corresponde a servidores DNS controlados por el autor del troyano.
Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon
5. Haga clic en la carpeta "Winlogon" y busque y borre la siguiente entrada:
System = "kdcmt.exe"
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SYSTEM
\CurrentControlSet
\Services
\Tcpip
\Parameters
7. Haga clic en la carpeta "Parameters" y en el panel de la derecha, bajo la columna "Nombre", busque la entrada "NameServer".
8. Haga clic en "NameServer" y cambie la "Información del valor" por la de los servidores DNS que le asigna su proveedor, o deje en blanco la entrada para que el equipo los localice automáticamente. Si su computadora forma parte de una red, consulte con el administrador de la misma sobre estos datos.
9. Cierre el editor del registro.
10. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
[Última modificación:
08/01/07 23:39 -0300]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|