|
VSantivirus No. 1230 Año 8, Miércoles 19 de noviembre de 2003
Troj/Downloader.MSCache. Descarga software de un web
http://www.vsantivirus.com/down-mscache.htm
Nombre: Troj/Downloader.MSCache
Tipo: Caballo de Troya
Alias: MSCache, Downloader.MSCache, Win32/MSCache.A
Fecha: 15/nov/03
Plataforma: Windows 32-bit
Reportado por: Symantec
Se trata de varios programas que descargan e instalan software de un sitio web predeterminado. El usuario puede infectarse por solo visitar dicho sitio: www2.skoobidoo.com
Los componentes descargados son los siguientes:
1. NOMBRE.DLL (36,864 bytes). Donde NOMBRE puede ser cualquier nombre seleccionado al azar. Se distribuye como un componente .CAB (cabinet, un formato comprimido propietario de Microsoft). El archivo contiene el propio DLL, y un archivo .INI. Al cargarse, el DLL descarga el siguiente archivo: RANDOMISER.EXE
2. RANDOMISER.EXE (7,680 bytes). Este ejecutable descarga a los dos siguientes (MSCACHE2.EXE y MSCACHE2.DLL), y los graba con nombres aleatorios en la carpeta de Windows.
3. MSCACHE2.EXE (114,688 bytes). Este componente intenta descargar y ejecutar contenido desde una página en Geocities.com, que ya no está accesible.
4. MSCACHE2.DLL (122,880 bytes). Este componente se integra al Internet Explorer como un objeto del tipo BHO (browser helper object). Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados, en este caso descargando actualizaciones de si mismo.
En algunas versiones de Windows e Internet Explorer, no todos los componentes serán cargados.
Limpieza manual
IMPORTANTE: Mientras se realiza la limpieza manual de este troyano, es importante desconectar físicamente el cable telefónico o la conexión ADSL, etc., ya que el troyano intentará conectarse nuevamente a Internet.
Desregistrar el componente BHO (browser helper object)
1. Obtener el nombre y camino completo del .DLL instalado como BHO por el troyano. En este caso se trata de un nombre con 8 caracteres en minúsculas al azar (y extensión .DLL), con un tamaño aproximado de 122,880 bytes. Si no lo localiza, ejecute un antivirus actualizado, anote el nombre del archivo cuando el antivirus le avise de un archivo infectado, PERO NO LO BORRE.
Ejemplo ficticio: c:\windows\gsahsadj.dll
2. Cierre el Internet Explorer y cualquier otra ventanas abierta
3. Desde Inicio, Ejecutar, escriba lo siguiente (más Enter):
regsvr32 /u c:\windows\gsahsadj.dll
4. Se abrirá una ventana del Internet Explorer, ciérrela.
5. Apague su computadora y aguarde cinco segundos por lo menos, antes de reiniciarla en modo a prueba de errores, como se indica en el siguiente artículo:
Cómo iniciar su computadora en Modo a prueba de fallos
http://www.vsantivirus.com/faq-modo-fallo.htm
6. Desde modo a prueba de fallos, ejecute un antivirus actualizado para borrar todas las apariciones de este troyano.
7. Reinicie su computadora y vuelva a revisar su equipo con un antivirus al día.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|