Otras versiones: .cm, .go
| Detección agregada |
27 mar 2009 |
| Actualización lanzada |
27 mar 2009 22:32 GMT |
| Descripción agregada |
23 abr 2009 |
Programa troyano que instala otros programas en el equipo del usuario sin
que éste se dé cuenta. Es un programa para Windows (fichero PE-EXE).
Su tamaño es de 21504 bytes. Está escrito en C++.
Instalación
Al ejecutarse, el troyano traslada el fichero «%WinDir%\Fonts\wuauclt.exe»
y lo guarda bajo el nombre:
c:\ss.tmp
A continuación, copia su fichero ejecutable bajo el nombre:
%WinDir%\Fonts\wuauclt.exe
Con el objetivo de iniciarse automáticamente cada vez que se inicie
Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de
autoinicio del registro del sistema:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"360safe" = "%WinDir%\Fonts\wuauclt.exe"
El troyano ejecuta las siguientes acciones:
- modifica los valores de las siguientes llaves del registro:
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://www2.07129.com/"
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-
08002B30309D}\shell\OpenHomePage\Command]
"(Default)" = ""C:\Program Files\Internet Explorer\iexplore.exe" www2.07129.com"
[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "1"
Esto provoca que la página de inicio de Internet Explorer sea reemplazada
por http://www2.07129.com.
- extrae de su cuerpo un fichero y lo guarda bajo el nombre:
%WinDir%\Downloaded Program Files\alg.exe
Este fichero es de 3740 bytes y Kaspersky Anti-Virus detecta como Exploit.Win32.IMG-WMF.fk
- ejecuta el fichero creado con el parámetro “http://***wuc8.com/aa.exe”
extrae de su cuerpo un fichero y lo guarda bajo el siguiente nombre para después
ejecutarlo:
%WinDir%\Fonts\TIMPIatform.exe
Este fichero es de 12288 bytes y Kaspersky Anti-Virus detecta como Trojan-Downloader.Win32.Agent.bpeh
Además, cada 25 minutos el troyano abre en la ventana de Internet Explorer
los enlaces:
http://joke.lia***9.com/
http://msm.moneyinf***.com/
Si su ordenador no contaba con la protección de un antivirus y se contagió
con la nueva versión de este programa nocivo, siga las siguientes instrucciones
para eliminarlo:
- Terminar el proceso del troyano con el Administrador de Tareas.
- Eliminar los siguientes archivos:
%WinDir%\Fonts\wuauclt.exe
c:\ss.tmp
%WinDir%\Downloaded Program Files\alg.exe
%WinDir%\Fonts\TIMPIatform.exe
- Eliminar el archivo original del troyano (su ubicación en el ordenador
infectado depende del modo en que el programa haya penetrado en el ordenador).
- Eliminar el siguiente parámetro de la llave del registro:
[HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"360safe" = "%WinDir%\Fonts\wuauclt.exe"
- Reestablecer los valores originales de las siguientes llaves del registro:
[HKCU\Software\Microsoft\Internet Explorer\Main]
"Start Page" = "http://www2.07129.com/"
[HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"Homepage" = "1"
- Modificar los valores de las siguientes llaves del registro:
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-
08002B30309D}\shell\OpenHomePage\Command]
"(Default)" = ""C:\Program Files\Internet Explorer\iexplore.exe" www2.07129.com"
por
[HKCR\CLSID\{871C5380-42A0-1069-A2EA-
08002B30309D}\shell\OpenHomePage\Command]
"(Default)" = "C:\Program Files\Internet Explorer\iexplore.exe"
- Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus
con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
