Win2003.exe
Explorer.exe

El segundo componente es una librería de acceso dinámico (DLL), de 49,152 bytes, y con un nombre generado al azar, consistente en 4 o 5 números. Ejemplo:

71034.dll
4342.dll

Este archivo es capaz de interceptar todas las actividades del usuario a través del teclado, en determinadas ventanas (ingreso de contraseñas, etc.).

Cuando se activa por primera vez, el troyano busca los siguientes archivos para ejecutarlos (asumiendo que dichos archivos son el propio troyano, previamente instalado):

d:\explorer.exe
e:\explorer.exe
c:\explorer.exe

Crea dos mutes, que funcionan como semáforos indicadores para no ejecutarse más de una vez a si mismo:

newsuper1.0
newsuper1.0back

Si no existe, se copia a si mismo en la siguiente ubicación, con los atributos de oculto (+H):

c:\windows\Win2003.exe

Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
win2003 = c:\windows\Win2003.exe

NOTA: "C:\Windows" puede variar de acuerdo a la versión de Windows instalada (por defecto "C:\Windows" en Windows 9x/ME/XP o "C:\WinNT" en Windows NT/2000).

Luego, se copia como EXPLORER.EXE en el raíz de las siguientes unidades de disco (y unidades de red si existieran):

d:\explorer.exe
e:\explorer.exe

También crea archivos AUTORUN.INF para ejecutarlos:

d:\autorun.inf
e:\autorun.inf

El troyano inicia un segundo proceso de ejecución en memoria, que comprueba cada 5 segundos la existencia de los archivos mencionados, los que vuelve a crear si son borrados.

Si los discos D: o E: fueran unidades de red, el troyano podría propagarse como un gusano, aunque no tiene en su código ninguna referencia relativa a hacer esto en forma explícita.

El troyano guarda en el siguiente archivo, una referencia al camino de su propio ejecutable:

c:\windows\ok

Luego se copia el archivo .DLL en el directorio System de Windows, donde luego es ejecutado:

c:\windows\system\[1234].dll

Donde [1234] son cuatro o cinco números al azar.

NOTA: "C:\Windows\System" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x/ME, como "C:\WinNT\System32" en Windows NT/2000 y "C:\Windows\System32" en Windows XP y Windows Server 2003).

Luego, el troyano comprueba cada 5 segundos, las posibles instrucciones del atacante, en una dirección de Internet determinada en su código.

El archivo .DLL se encarga de interceptar las contraseñas del sistema y las ingresadas por el usuario infectado. Para ello examina si existe alguna ventana activa con alguno de los siguientes títulos (entre ellos, uno en chino), y luego intercepta todo lo tecleado por el usuario dentro de dicha ventana:

legend of mir2
Legend Of Mir 3
ActiveMovie Window
Lineage Windows Client

También busca procesos con los siguientes nombres que se estén ejecutando en memoria:

main.exe
mu.exe

El troyano utiliza el archivo WIN.INI para almacenar los datos. También crea la siguiente rama del registro con el mismo propósito:

HKCC\Game\MU

La información obtenida, es enviada luego a un sitio de Internet, a través de una conexión HTTP.

El troyano también puede descargar archivos de Internet, y luego ejecutarlos. El archivo descargado es almacenado en la siguiente ubicación:

c:\Windows\3847777299211.exe

Este archivo, actualmente es otro troyano con características de acceso remoto.

El troyano también intenta finalizar los siguientes procesos, si alguno de ellos se encontrara activo en memoria. Luego borra dichos archivos:

EGhost.exe
PasswordGuard.exe

También intentará finalizar cualquiera de los siguientes procesos:

DFVSNET.EXE
EGhost.exe
Iparmor.exe
kvapfw.exe
kvfw.exe
PasswordGuard.exe
pfw.exe

Reparación manual

Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.

ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).

Más información:

Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm


Antivirus

Para la limpieza de este troyano, solo actualice sus antivirus con las últimas definiciones, y ejecútelos en modo escaneo, revisando todos sus discos. Luego borre los archivos detectados como infectados.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

win2003

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com