|
VSantivirus No. 1794 Año 9, domingo 5 de junio de 2005
Troj/KillWin.AJ. Borra archivos vitales de Windows
http://www.vsantivirus.com/troj-killwin-aj.htm
Nombre: Troj/KillWin.AJ
Nombre NOD32: Win32/KillWin.AJ
Tipo: Caballo de Troya
Alias: KillWin.AJ, Troj/KillWin.AJ, Trojan.Win32.KillWin.aj, Trojan/KillWin.aj, Win32.KillFiles.AG, Win32/DelWin.L!Trojan, Win32/KillWin.AJ
Fecha: 3/jun/05
Plataforma: Windows 32-bit
Tamaño: 93,009 bytes
Este troyano se presenta como un programa legítimo, mostrando la interfase gráfica de una utilidad multimedia.
Cuando el usuario lo ejecuta, el troyano intentará borrar luego de una determinada cantidad de ejecuciones, varios archivos críticos del sistema, algunos de inmediato, y otros modificando el archivo C:\AUTOEXEC.BAT (esto no ocurre en Windows XP), para que al reiniciarse el equipo se proceda al borrado automático de otros archivos.
Algunos de los archivos que el troyano intenta borrar:
*.bat
*.dll
*.exe
*.ini
autoexec.bat
C:\command.com
C:\Windows\win.com
command.com
config.sys
country.sys
dosstart.bat
ega3.cpi
keybrd1.sys
keybrd2.sys
keybrd3.sys
keybrd4.sys
protocol.ini
restreg.bat
rundll.exe
rundll32.exe
shell32.dll
stimon.exe
system.ini
system.old
systray.exe
win.ini
win.old
En el caso de que logre su cometido, el usuario deberá reinstalar Windows y los programas afectados.
El troyano no se propaga por si mismo. Puede llegar a nuestro PC al ser copiado manualmente en el sistema, o al ser descargado intencionalmente o mediante engaños de algún sitio malicioso, o de redes de intercambio de archivos P2P.
Un usuario malintencionado, también podría enviar el troyano a su víctima en un mensaje electrónico individual o masivamente por medio de spam a otros usuarios.
Otros malwares también podrían descargarlo y ejecutarlo en un sistema infectado.
Reparación manual
IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos o borrados, dependerá del daño causado por el troyano desde el momento de ocurrida la infección, hasta el momento de su detección.
En el caso de que el troyano haya logrado su cometido, el usuario deberá reinstalar Windows y los programas afectados.
Antivirus
Para borrar manualmente el gusano, primero actualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre todos los archivos detectados como infectados.
Método para revisar AUTOEXEC.BAT
Esto sólo es necesario en computadoras bajo Windows 95/98 y Me.
* Usuarios de Windows Me solamente:
En el caso de los usuarios de Windows Me, debido al proceso de autoprotección de esta versión de Windows, existe una copia de respaldo del archivo AUTOEXEC.BAT en la carpeta C:\Windows\Recent.
Se recomienda borrar esta copia antes de proceder a los siguientes cambios. Para ello, desde el Explorador de Windows, abra la carpeta C:\Windows\Recent, y en el panel de la derecha, seleccione y borre Autoexec.bat. Este archivo se regenerará como una copia del archivo que a continuación modificaremos, al grabar los cambios hechos.
* Usuarios de Windows 95, 98 y Me:
1. Pulse el botón Inicio y luego Ejecutar
2. Escriba lo siguiente y pulse en Aceptar.
edit c:\autoexec.bat
Se abrirá el editor de MS-DOS con el contenido de c:\autoexec.bat
3. Borre toda línea que contenga las instrucciones de borrado de los archivos mencionados antes (comando DEL).
4. Seleccione Archivo, Guardar, para grabar los cambios, y luego reinicie su PC.
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|