RSS | Foro | Encuestas | Mapa de nuestro sitio




Todas las amenazas

Virus

Hackers

Spam
Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario


El entorno de los programas maliciosos
Descripciones de los programas maliciosos
Los creadores de programas maliciosos
Historia de los programas maliciosos
Tendencias
Si su ordenador está infectado

 
Sobre hackers
About Hackers

Más información sobre hackers y vulnerabilidados en nuestra sección sobre hackers y vulnerabilidades.
Sobre spam
Sobre spam

Lea más sobre el spam y los spammers en nuestra sección sobre spam.

 		 

  Home / Virus / Enciclopedia de virus

Trojan-Downloader.Win32.Delf.sxr

Detección agregada 30 mar 2009 17:24 GMT
Actualización lanzada 30 mar 2009 21:43 GMT
Descripción agregada 23 abr 2009

Detalles técnicos

Programa troyano que descarga otros programas sin que el usuario se dé cuenta. El programa es una aplicación Windows (fichero PE EXE). Su tamaño es de 450522 bytes. Está escrito en Delphi.

Instalación

Al ejecutarse, el troyano copia su cuerpo al directorio de Windows bajo el nombre "avgsec.exe": 

%System%\avgsec.exe

Con el objetivo de iniciarse automáticamente cada vez que se inicie Windows, el troyano agrega un enlace a su fichero ejecutable en la llave de autoinicio del registro del sistema:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Corporation" = "%System%\avgsec.exe"
Daños

El troyano sustituye los ficheros "hosts" y "lmhosts". Esto provoca que los nombres de dominio se conviertan en direcciones IP equivocadas. El troyano recibe los datos a suplantar desde esta dirección:

http://211.99.150.***/icons/folder.sw.gif

En el momento de la creación de esta descripción, los datos eran los siguientes:

127.0.0.1 localhost
83.240.39.133 www.bradesco.com.br
83.240.39.133 bradesco.com.br
83.240.39.133 bradesco.com
83.240.39.133 www.bradesco.com.br
83.240.39.133 www.santander.com.br
83.240.39.133 santander.com.br
83.240.39.133 www.banespa.com.br
83.240.39.133 banespa.com.br
83.240.39.133 www.caixa.gov.br
83.240.39.133 www.caixa.com.br
83.240.39.133 internetcaixa.caixa.gov.br
83.240.39.133 internetbanking.caixa.gov.br
83.240.39.133 internetcaixa.caixa.com.br
83.240.39.133 internetbaking.caixa.com.br
83.240.39.133 caixa.com.br
83.240.39.133 caixa.gov.br
83.240.39.133 cef.gov.br
83.240.39.133 cef.com.br
83.240.39.133 www.cef.gov.br
83.240.39.133 www.cef.com.br
83.240.39.133 www.itau.com.br
83.240.39.133 www.itau.com
83.240.39.133 itau.com
83.240.39.133 itau.com.br
83.240.39.133 www.bradescoprime.com.br
83.240.39.133 bradescoprime.com.br
83.240.39.133 www.unibanco.com.br
83.240.39.133 unibanco.com.br
83.240.39.133 www.americanexpress.com.br
83.240.39.133 americanexpress.com.br
83.240.39.133 www.itaupersonnalite.com.br
83.240.39.133 itaupersonnalite.com.br
83.240.39.133 www.e-gold.com.br
83.240.39.133 e-gold.com.br
83.240.39.133 www.banrisul.com.br
83.240.39.133 banrisul.com.br

Además, el troyano recolecta datos sobre el sistema y los envía como solicitud a la dirección:

www.jakna*****.com/lang/espanol.php

Acto seguido el troyano concluye su trabajo.

Instrucciones de eliminación

Si su ordenador no contaba con la protección de un antivirus y se contagió con la nueva versión de este programa nocivo, siga las siguientes instrucciones para eliminarlo:

  1. Eliminar el archivo original del troyano (su ubicación en el ordenador infectado depende del modo en que el programa haya penetrado en el ordenador).
  2. Borrar el catálogo %Archivos temporales de Internet% (en inglés).
  3. Eliminar la copia del troyano: 
    %System%\avgsec.exe
  4. Eliminar el siguiente parámetro de la llave del registro:
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
    "Microsoft Corporation" = "%System%\avgsec.exe"
  5. Reestablecer el estado original de los ficheros modificados por el troyano: 
    %System%\drivers\etc\hosts
%System%\drivers\etc\lmhosts
%WinDir%\hosts
%WinDir%\lmhosts
  6. Hacer un análisis completo del ordenador usando Kaspersky Anti-Virus con las últimas actualizaciones de sus bases antivirus (Descargar versión de prueba).
 

Copyright © 1996 - 2009
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com