Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Trojan: PWSteal.Coced240b.Tro. Falso parche de Microsoft
 
VSantivirus No. 233 - Año 5 - Lunes 26 de febrero de 2001

Nombre: PWSteal.Coced240b.Tro
Tipo: Caballo de Troya robador de contraseñas
Alias: Trojan.PWS.Coced.240.b, PWS.gen, NAEBI.240B.Trojan
Fecha: 16/feb/01
Nombre del adjunto: 26705-i386-update.exe
Tamaño del adjunto: 14,104 bytes

Se trata de un robador de contraseñas, que llega como un adjunto llamado "26705-i386-update.exe". 

Simula ser un parche para una vulnerabilidad, enviada por Microsoft, desde support@microsoft.com.

Este troyano es capaz de robar y mandar información confidencial a una determinada dirección de correo.

Microsoft no envía parches a través del correo electrónico. Puede encontrar más información acerca de este tipo de mensajes y archivos adjuntos ficticios, en esta dirección:
http://www.microsoft.com/technet/security/bogus.asp

Cuando se ejecuta el archivo adjunto (doble clic), el troyano modifica el registro de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
mcidial = <nombre y camino del ejecutable del troyano>

También se agrega a la línea RUN= del archivo WIN.INI

[windows]
run= <nombre y camino del ejecutable del troyano>

Ambos cambios, hacen que el troyano se ejecute en cada reinicio de Windows.

También modifica el archivo SYSTEM.INI:

[boot]
Explorer=Explorer <nombre y camino del troyano>

Este troyano no se envía en forma automática por correo, alguien debe enviárselo en forma premeditada.

Para borrarlo de su sistema, ejecute un antivirus actualizado, y borre todas las apariciones del troyano.

Luego borre los cambios en el registro, y en los archivos WIN.INI y SYSTEM.INI.

Para editar el registro, teclee Inicio, Ejecutar, escriba REGEDIT y pulse Enter

Busque la siguiente clave en la ventana de la izquierda:

HKEY_LOCAL_MACHINE
Software
Microsoft
Windows
CurrentVersion
Run

En el panel de la derecha, borre el siguiente valor:

mcidial

Seleccione Registro, Salir para guardar los cambios y abandonar el editor REGEDIT.

Para editar el WIN.INI, desde Inicio, Ejecutar, escriba WIN.INI y pulse Enter.

Se abrirá el bloc de notas con el archivo WIN.INI.

En [Windows] busque la línea "run= <archivo>" (donde <archivo> es el nombre y ubicación del troyano) y borre todo lo que esté después del signo "="

Seleccione Archivo, Salir y confirme guardar los cambios.

Para editar el SYSTEM.INI, desde Inicio, Ejecutar, escriba SYSTEM.INI y pulse Enter.

Se abrirá el bloc de notas con el archivo SYSTEM.INI.

En [boot] busque la línea "explorer=explorer <archivo>" (donde <archivo> es el nombre y ubicación del troyano) y borre toda la línea.

Seleccione Archivo, Salir y confirme guardar los cambios.

Reinicie su computadora.

Fuente: Symantec

 

Copyright 1996-2001 Video Soft BBS