|
VSantivirus No. 2066 Año 10, lunes 6 de marzo de 2006
Domangel. Examina dominios para secuestrarlos
http://www.vsantivirus.com/domangel.htm
Nombre: Domangel
Nombre NOD32: Win32/Domangel
Tipo: Caballo de Troya
Alias: Domangel, Trojan.Domangel.A, Trojan.Domangel.B, Trojan.Domangel.C
Fecha: 17/ene/06
Plataforma: Windows 32-bit
Tamaño: varios
Caballo de Troya que examina el estado de una lista de dominios previamente seleccionados, a los efectos de que quien controla al troyano, pueda registrarlos al expirar estos, en aquellos casos que no lo haya hecho aún el propietario legítimo. Se conoce que algunos de estos propietarios son extorsionados luego para obtener dinero a cambio de la devolución de los dominios.
El troyano debe ser ejecutado e instalado por el usuario. Para ello, el mismo despliega una ventana de licencia en alemán, solicitando la aceptación para su instalación.
Los dos botones mostrados contienen las siguientes leyendas:
[ Ich stimme zu
]
[ Ich stimme nicht zu ]
Si el usuario pulsa en [Ich stimme nicht zu], entonces el troyano no se ejecutará.
Si en cambio pulsa en el botón [Ich stimme zu], el troyano realizará las siguientes acciones:
Creará los siguientes archivos en el sistema:
c:\windows\Remove.exe
c:\windows\system32\help.exe
c:\windows\system32\lizenz.txt
c:\windows\system32\uninstall.lnk
NOTA: En todos los casos, "c:\windows" y "c:\windows\system32" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system", etc.).
El archivo LIZENZ.TXT contiene el texto de la licencia en texto plano, UNINSTALL.LNK es un acceso directo a HELP.EXE con el parámetro "/Uninstall" (la desinstalación de todos modos no borra todas las entradas en el registro realizadas por el troyano).
El archivo de desinstalación tiene atributos de oculto, y no se muestra al usuario. REMOVE.EXE en cambio, es una copia del propio troyano.
También crea los siguientes archivos, donde almacena datos para su funcionamiento:
ddata
pdata
lddata
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
System = "c:\windows\system32\help.exe"
Modificando el registro, también altera múltiples configuraciones del Internet Explorer, que afectan funciones como las de búsqueda y otras.
Algunas versiones del troyano pueden crear además la siguiente entrada en el registro:
HKCU\Software\System
Otras versiones más antiguas, agregan enlaces a los siguientes sitios:
www .aktuelle-news .info
www .applewoods-regensburg .de
El troyano intenta descargar el archivo GETGEWINNSPIEL.HTM, conectándose regularmente a las siguientes direcciones
IP:
213 .203 .209 .126
213 .203 .209 .125
213 .203 .209 .124
213 .203 .209 .123
213 .203 .209 .122
213 .203 .209 .121
213 .203 .209 .120
213 .203 .209 .119
213 .203 .209 .118
213 .203 .209 .117
213 .203 .209 .116
213 .203 .209 .115
213 .203 .209 .114
También envía a esas direcciones, la información obtenida en el equipo infectado.
El rango de IP mencionadas, están registradas a nombre de "Universal Boards GmbH & Co KG" de Alemania.
El archivo GETGEWINNSPIEL.HTM es un archivo encriptado.
La información recibida contiene los datos que el troyano desencripta y almacena en los archivos "ddata", "pdata" y "lddata" mencionados antes.
Con estos datos el troyano intenta obtener información sobre determinados dominios de Internet.
De ese modo, pretende averiguar el estado actual de los dominios consultados. Cómo los servidores dedicados a esto en Internet (WhoIs Service Providers), solo aceptan unas pocas consultas de una misma IP, mientras más equipos infectados con este troyano existan, más consultas podrá hacer.
La información obtenida es enviada a los servidores antes mencionados, donde se almacenan en una base de datos.
El troyano también abre el puerto 6666, permitiendo el acceso al equipo de cualquier usuario remoto, sin necesidad de autenticación.
Los siguientes son algunos de los comandos soportados desde ese acceso:
size
get
quit
Para no ejecutarse más de una vez en memoria, el troyano genera el siguiente
mutex:
UNIQUENAMEHERE
Reparación manual
NOTA: Tenga en cuenta que de acuerdo a las acciones realizadas por el atacante remoto, pueden aplicarse cambios en el sistema no contemplados en esta descripción genérica.
Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. IMPORTANTE: Tome nota del nombre de todos los archivos detectados como infectados.
4. Borre todos los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virus
Desde el Explorador de Windows, localice y borre los archivos detectados en el punto 3 del ítem "Antivirus".
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_CURRENT_USER
\Software
\System
3. Haga clic en la carpeta "System" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
5. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Datos", busque y borre toda entrada que haga referencia a los archivos detectados en el punto 3 del ítem "Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Restaurar la configuración por defecto del Internet Explorer:
1. Seleccione Herramientas, Opciones de Internet en el IE.
2. Seleccione la lengüeta "Programas".
3. Haga clic en "Restablecer configuración Web..."
4. Haga clic en "Aceptar".
Restaurar "Zonas de seguridad" al nivel predeterminado.
1. Seleccione en el Panel de control, el icono "Opciones de Internet".
2. Pinche en la lengüeta "Seguridad", y luego en "Internet".
3. Haga clic en el botón "Nivel predeterminado", y luego en el botón "Aplicar"
4. Reitere el paso "3" en "Intranet local", "Sitios de confianza" y "Sitios restringidos".
5. Haga clic en "Aceptar".
NOTA: Se recomienda luego, configurar el Internet Explorer como se explica en el siguiente artículo:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Procedimiento para restaurar página de inicio y página de búsqueda en Internet Explorer
1. Cierre todas las ventanas del Internet Explorer abiertas
2. Seleccione "Mi PC", "Panel de control".
3. Haga clic en el icono "Opciones de Internet".
4. Seleccione la lengüeta "Programas".
5. Haga clic en el botón "Restablecer configuración Web"
6. Asegúrese de tener tildada la opción "Restablecer también la página inicio" y seleccione el botón SI.
7. Haga clic en "Aceptar".
Cambiar la página de inicio del Internet Explorer
Cambie la página de inicio del Internet Explorer desde Herramientas, Opciones de Internet, General, Página de inicio, por una de su preferencia (o haga clic en "Página en blanco"). O navegue hacia una página de su agrado, haga clic en Herramientas, Opciones de Internet, General, y finalmente haga clic en "Usar actual".
Cambiar las páginas de búsqueda del Internet Explorer
1. Inicie el Internet Explorer.
2. Haga clic en el botón "Búsqueda" de la barra de herramientas.
3. En el panel que se despliega (Nuevo, Siguiente, Personalizar), seleccione "Personalizar".
4. Asegúrese de marcar "Utilizar el asistente de búsqueda" (Use Search Assistant).
5. Haga clic en el botón "Reiniciar" (Reset).
6. Haga clic en el botón "Configuración de Autosearch" (Autosearch Settings).
7. Elija un proveedor de búsquedas en el menú (Search Provider).
8. Seleccione "Aceptar" hasta salir de todas las opciones.
Borrar archivos temporales
1. Cierre todas las ventanas y todos los programas abiertos.
2. Desde Inicio, Ejecutar, escriba %TEMP% y pulse Enter.
Nota: debe escribir también los signos "%" antes y después de "temp".
3. Cuando se abra la ventana del Explorador de Windows, pulse CTRL+E (o seleccione desde el menú "Edición", la opción "Seleccionar todo").
4. Pulse la tecla SUPR y confirme el borrado de todo, incluyendo los ejecutables.
5. haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
NOTA: Si se recibe un mensaje de que no se puede borrar todo, reinicie Windows en modo a prueba de fallos, como se indica en el siguiente artículo, y repita todos los pasos anteriores:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
Borrar Archivos temporales de Internet
1. Vaya al Panel de control, Opciones de Internet, General
2. En Archivos temporales de Internet Haga clic en "Eliminar archivos"
3. Marque la opción "Eliminar todo el contenido sin conexión"
4. Haga clic en Aceptar, etc.
Información adicional
Cambio de contraseñas
En el caso de haber sido infectado con este troyano, se recomienda llevar a cabo las acciones necesarias a fin de cambiar todas las claves de acceso, así como toda otra información que comprometa la información relacionada con cualquier clase de transacción bancaria, incluidas sus tarjetas electrónicas y cuentas bancarias.
Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)
Para activar ICF en Windows XP, siga estos pasos:
1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).
2. Haga clic con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.
3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.
4. Seleccione Aceptar, etc.
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|