VSantivirus No. 216 - Año 5 - Viernes 9 de febrero de 2001
Nombre: DUNpws.es
Tipo: Caballo de Troya
Alias: Trojan.PSW.Billy.b (AVP)
Fecha: 8/feb/01
Tamaño: 61,440 bytes
Se trata de un troyano capaz de robar las claves de usuario usadas para el Acceso telefónico a redes (Internet).
Simula ser un archivo de WinZip, mostrando el mismo icono que los archivos comprimidos con esta utilidad. Cuando la víctima intenta ejecutar este archivo, se despliega un mensaje de error simulando que se trata de un archivo ZIP corrupto:
WinZip Self-Extractor
WinZip Self-Extractor header corrupt.
Possible cause: bad disk or file transfer error
El usuario, pensando se trata de una descarga inconclusa, no sospechará que en ese momento el troyano se ha copiado a si mismo al directorio
C:\WINDOWS con el nombre de SYSTEMSPOOLER.EXE y que ha modificado además, la siguiente clave del registro para ejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Spooler service = C:\WINDOWS\SYSTEMspooler.exe
Una vez en memoria, el troyano robará las claves de acceso a Internet, y las intentará enviar a un usuario de ICQ. Esto lo hace aún sin la presencia del programa ICQ en la computadora infectada.
Como sacar el troyano de un sistema infectado
1. Pinche en Inicio, Ejecutar, y teclee REGEDIT (más ENTER).
2. En el panel izquierdo del editor de registro de Windows, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINES
software
Microsoft
Windows
CurrentVersion
Run
3. Pinche sobre la carpeta "RUN". En el panel de la derecha debería ver algo como:
Spooler service
"C:\WINDOWS\SYSTEMspooler.exe"
4. Pinche sobre el nombre "Spooler
service" y pulse la tecla SUPR o DEL. Conteste afirmativamente la pregunta de si desea borrar la clave.
5. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
6. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
7. Pinche en Inicio, Buscar, Archivos o carpetas.
8. Asegúrese de tener en "Buscar en:" la unidad C:\ y marcado "Incluir subcarpetas".
9. En la casilla "Nombre" escriba (o "corte y pegue") el siguiente nombre:
SYSTEMspooler.exe
10. Pinche en "Buscar ahora".
11. Si aparece ese archivo, márquelo.
12. Pulse la tecla SUPR o DEL, y pinche en SI para confirmar el borrado.
13. Vaya a la papelera de reciclaje en el escritorio, pinche con el botón derecho sobre ella y seleccione "Vaciar la papelera de reciclaje".
14. Ejecute uno (o más) antivirus actualizados para revisar y limpiar su sistema.
Fuente: McAfee, Kaspersky
|