|
VSantivirus No. 1465 Año 8, sábado 10 de julio de 2004
Troj/Agent.AC. Se carga al visitar páginas Web
http://www.vsantivirus.com/troj-agent-ac.htm
Nombre: Troj/Agent.AC
Tipo: Caballo de Troya de acceso remoto
Alias: Agent.AC, Win32/Agent.AC, Bck/Agent.E, TROJ_AGENT.AC, Win32.Mersting.B, BackDoor-CFB, Win32:Trojano-092 [Trj], BDS/Agent.AC, BackDoor.Agent.BA, Backdoor.Agent.ac, Backdoor.Agent.AC, Trojan.DownLoader.245, BackDoor-CFB, Trojan.Agent.Ac, Win32/Agent.AC, TROJ_AGENT.AC, Backdoor:Win32/Agent.AC, Win32.Mersting.B, Trojan.092,
Agent.E, Backdoor.Agent.B, Troj/Agent-AC
Fecha: 7/jul/04
Plataforma: Windows 32-bit
Tamaño: 57,344 bytes (UPX)
Se trata del componente DLL (Dynamic Link Library), instalado por otros malwares (parásitos), cuando la víctima visita determinadas páginas. El archivo está comprimido con una versión modificada de la herramienta UPX.
Su nombre es variable, por ejemplo:
compckp.dll
ctlapa.dll
ctljoh.dll
d3dkhe.dll
hlpeo.dll
hlpjp.dll
kbdjef.dll
log.dll
ms.dll
msa.dll
wdm.dll
win.dll
winlg.dll
El troyano modifica el registro para que este DLL se ejecute en cada reinicio del sistema. Los nombres de las claves agregadas varían aleatoriamente, pero siempre comienzan con dos asteriscos:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
**XXXX =
RUNDLL32, c:\windows\system\[nombre].DLL,StreamingDeviceSetup
Donde XXXX pueden ser de uno a cuatro caracteres al azar, y [nombre].DLL es el nombre del troyano.
En Windows NT, 2000 y XP, también se modifica la siguiente clave:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = c:\windows\system\[nombre DLL].DLL
Esto carga el DLL en otros procesos cada vez que ellos son ejecutados en el sistema. Debido a esto, la eliminación correcta de este troyano, requiere el reinicio del sistema en modo a prueba de fallos o modo seguro.
El DLL no contiene ninguna rutina maliciosa, salvo exportar las siguientes funciones para que otros programas las puedan utilizar:
InstallStreamingDevice
StreamingDeviceSetup
StreamingDeviceSetup2
Tenga en cuenta que de este modo, el archivo DLL puede ser utilizado por un programa maligno para obtener y enviar información de la máquina infectada a otras personas.
Reparación manual
Sobre el componente troyano
Nota: Recomendamos utilizar un programa tipo firewall (cortafuego) como el ZoneAlarm, el cuál detendrá y advertirá la conexión de este y cualquier otro troyano con Internet, así como cualquier intento de acceder a nuestro sistema.
ZoneAlarm (gratuito para su uso personal), además de ser un excelente cortafuegos, también impide la ejecución de cualquier adjunto con posibilidades de poseer virus (sin necesidad de tener que actualizarlo con cada nueva versión de un virus).
Más información:
Cómo configurar Zone Alarm 3.x
http://www.vsantivirus.com/za.htm
Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
Antivirus
Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Tome nota de los nombres de los archivos detectados como infectados.
3. Borre los archivos infectados.
Editar el registro
Nota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
**XXXX
Donde XXXX pueden ser de uno a cuatro caracteres al azar. El nombre siempre comienza con dos asteriscos.
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
5. Pinche en la carpeta "Windows" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
AppInit_DLLs = c:\windows\system\[nombre DLL].DLL
Donde [nombre DLL] debe ser uno de los nombres detectados en el punto 3 de "Antivirus".
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Herramientas de limpieza automática:
Descargue y ejecute esta herramienta de TREND-MICRO en su computadora, para una limpieza automática de la misma. Siga las instrucciones en el archivo .TXT del .ZIP descargado.
Descarga:
https://beta.activeupdate.trendmicro.com/fixtool/fixagentv1.0007.zip
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
Actualizaciones:
22/07/04 - 11:29 -0300 (Alias: Agent.E)
22/07/04 - 11:29 -0300 (Alias: Backdoor.Agent.B)
22/07/04 - 11:29 -0300 (Alias: Troj/Agent-AC)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|