Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Troj/PWS.Qphook.A. Captura el ingreso de datos
 
VSantivirus No. 1259 Año 8, jueves 18 de diciembre de 2003

 Troj/PWS.Qphook.A. Captura el ingreso de datos
http://www.vsantivirus.com/pws-qphook-a.htm

Nombre: Troj/PWS.Qphook.A
Tipo: Caballo de Troya, robador de contraseñas.
Alias: Qphook, Trojan.PWS.Qphook
Fecha: 14/dic/03
Plataforma: Windows 32-bit
Tamaño: 28,672 bytes

Caballo de Troya usado para robar información de la máquina infectada. Esta información pueden ser contraseñas, información sensible (datos de tarjetas de crédito, etc.)

No se distribuye por si mismo, y suele ser enviado por un "dropper", un programa malicioso que "libera" y ejecuta a este troyano.

También puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.

Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.

Cuando se ejecuta, se engancha a una función de Windows, de modo de ser activado cada vez que el usuario mueve el cursor de su ratón.

Cuando ello ocurre, localiza la ventana activa y examina los controles "Edit" y "ComboBox". El primero es donde se ingresan los datos y se pueden editar; el segundo contiene las entradas introducidas anteriormente, para que puedan ser seleccionadas sin tener que escribirlas de nuevo. Ambos son usados al ingresar datos como contraseñas, etc.

El troyano captura el texto contenido en dichos controles, y lo vuelca en el siguiente archivo:

c:\windows\system\result.txt

También crea otro archivo, en donde almacena un contador, indicando el número de entradas que han sido hechas en RESULT.TXT:

c:\windows\system\blinfo.ini

NOTA: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).

No realiza ninguna otra modificación en el sistema, y no se vuelve a ejecutar en forma automática.

El archivo creado con las capturas, podrá ser obtenido de la máquina infectada por otros medios, ya que se conoce su ubicación y nombre (podría ser incluso otro troyano, etc.)


Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados. También borre los siguientes archivos:

c:\windows\system\result.txt
c:\windows\system\blinfo.ini


Información adicional

Activar el cortafuegos de Windows XP (Internet Conexión Firewall, ICF)

Para activar ICF en Windows XP, siga estos pasos:

1. Seleccione Inicio, Panel de Control, Conexiones de Red (o Conexiones de Red e Internet, Conexiones de Red).

2. Pinche con el botón derecho sobre las distintas conexiones disponibles para conectarse a Internet, y en "Conexión de Red de Area Local" y seleccione Propiedades en cada una de ellas.

3. En la lengüeta "Avanzadas" tilde la opción "Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet" en todos los casos.

4. Seleccione Aceptar, etc.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS