Antonio
- Administrador -
Sexo: 
Mensajes: 13429
Pasatiempos en linea
|
 |
« : Julio 17, 2008, 09:36:18 » |
|
nombre: Win32/VB.NNP
aliases: TR/Agent.61440.123, W32/VB-Backdoor-ESVR-based!Maximus, Generic.Malware.SFYd.533433B6, W32/VB-Backdoor-ESVR-based!Maximus, Trojan-Spy.HTML.Agent.d, Trojan-Spy.HTML.Agent.d, Win32/VB.NNP, Mal/Emogen-M, Trojan-Spy.HTML.Agent.d, Trojan.Agent.61440.123
tipo: Troyano
fecha: 07/07/2008
tamaño: 575,934 Bytes
destructivo: No
origen: Desconocido
nombre asignado por: ESET
------------------------------
INFORMACION
Troyano que captura la salida del teclado para robar contraseñas, datos de tarjetas de credito y información del usuario.
> CARACTERISTICAS
Cuando se ejecuta crea los siguientes archivos:
c:\windows\system\404.html
c:\windows\system\bcp.html
c:\windows\system\empresas.html
c:\windows\system\empresas_archivos\aviso_em.js
c:\windows\system\empresas_archivos\demostra.gif
c:\windows\system\personas_archivos\demostra.gif
c:\windows\system\vip_archivos\demostra.gif
c:\windows\system\empresas_archivos\empresas.htm
c:\windows\system\empresas_archivos\entrar00.gif
c:\windows\system\personas_archivos\entrar00.gif
c:\windows\system\vip_archivos\entrar00.gif
c:\windows\system\empresas_archivos\principa.js
c:\windows\system\empresas_archivos\prine010.jpg
c:\windows\system\empresas_archivos\seguridad.gif
c:\windows\system\personas_archivos\segurida.gif
c:\windows\system\vip_archivos\segurida.gif
c:\windows\system\empresas_archivos\Thumbs.db
c:\windows\system\index.html
c:\windows\system\Mswinsck.ocx
c:\windows\system\personas_archivos\aviso000.js
c:\windows\system\vip_archivos\aviso000.js
c:\windows\system\personas_archivos\index2.html
c:\windows\system\personas_archivos\inscribe.gif
c:\windows\system\vip_archivos\inscribe.gif
c:\windows\system\personas_archivos\prin01.jpg
c:\windows\system\personas_archivos\Thumbs.db
c:\windows\system\personas_archivos\_notes\index.htm.mno
c:\windows\system\server.exe
c:\windows\system\vip.html
c:\windows\system\vip_archivos\index2.html
c:\windows\system\vip_archivos\prin0100.jpg
c:\windows\system\vip_archivos\Thumbs.db
c:\windows\system\zona_publica\01_persona\archivos\bannersdiarios.js
c:\windows\system\zona_publica\01_persona\archivos\bannersdiariosssssssssss.js
c:\windows\system\zona_publica\01_persona\archivos\bullet_mage.gif
c:\windows\system\zona_publica\01_persona\archivos\bullet_nara.gif
c:\windows\system\zona_publica\01_persona\archivos\BuscadorGoogle.css
c:\windows\system\zona_publica\01_persona\archivos\certifica-js14.js
c:\windows\system\zona_publica\01_persona\archivos\certifica.js
c:\windows\system\zona_publica\01_persona\archivos\esq_azul.gif
c:\windows\system\zona_publica\01_persona\archivos\esq_lila.gif
c:\windows\system\zona_publica\01_persona\archivos\estilos.css
c:\windows\system\zona_publica\01_persona\archivos\fl_magenta.gif
c:\windows\system\zona_publica\01_persona\archivos\fl_nar(1).gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\images\fl_nar.gif
c:\windows\system\zona_publica\01_persona\archivos\fl_nar.gif
c:\windows\system\zona_publica\01_persona\archivos\f_ingresa.jpg
c:\windows\system\zona_publica\01_persona\archivos\herramientas.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\images\herramientas.gif
c:\windows\system\zona_publica\01_persona\archivos\ic_candado.gif
c:\windows\system\zona_publica\01_persona\archivos\ic_sobre.gif
c:\windows\system\zona_publica\01_persona\archivos\logo.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\images\logo.gif
c:\windows\system\zona_publica\01_persona\archivos\pops.js
c:\windows\system\zona_publica\01_persona\archivos\scripts.js
c:\windows\system\zona_publica\01_persona\archivos\spacer.gif
c:\windows\system\zona_publica\01_persona\archivos\Thumbs.db
c:\windows\system\zona_publica\01_persona\archivos\txt_ingresa.gif
c:\windows\system\zona_publica\01_persona\archivos\ViaBCP1.css
c:\windows\system\zona_publica\01_persona\banners\banner_chico_sedapal.gif
c:\windows\system\zona_publica\01_persona\banners\banner_pagotc.gif
c:\windows\system\zona_publica\01_persona\banners\ban_581_final.swf
c:\windows\system\zona_publica\01_persona\banners\chico_seguridad.gif
c:\windows\system\zona_publica\01_persona\banners\seguridadFinal_chico.gif
c:\windows\system\zona_publica\01_persona\banners\Thumbs.db
c:\windows\system\zona_publica\01_persona\index.html
c:\windows\system\zona_publica\bcp\index.html
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\images\fl_blan.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\images\fl_nar02.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\images\ic_candado2.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\images\Thumbs.db
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\images\tit_ingresa.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\index.html
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\0.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\1.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\2.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\3.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\4.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\5.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\6.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\7.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\8.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\9.gif
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\comunes.js
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\login.js
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\Thumbs.db
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos\zona_segura.css
También crea las siguientes carpetas:
c:\windows\system\empresas_archivos
c:\windows\system\personas_archivos
c:\windows\system\personas_archivos\_notes
c:\windows\system\vip_archivos
c:\windows\system\zona_publica
c:\windows\system\zona_publica\01_persona
c:\windows\system\zona_publica\01_persona\archivos
c:\windows\system\zona_publica\01_persona\banners
c:\windows\system\zona_publica\bcp
c:\windows\system\zona_publica\bcp\OperacionesEnLinea
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\images
c:\windows\system\zona_publica\bcp\OperacionesEnLinea\_archivos
Crea o modifica la siguientes claves del registro:
HKCU\Software\WinRAR SFX
CWINDOWS%system = "c:\windows\system"
> INSTRUCCIONES PARA ELIMINARLO
1. Reinicie en Modo a prueba de fallos.
2. Ejecute un antivirus actualizado y elimine los archivos infectados.
3. Ejecute un antivirus actualizado y tome nota de los archivos infectados antes de eliminarlos.
4. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.
5. Elimine bajo la columna "Nombre", la(s) entrada(s) que hagan referencia a alguno de los nombres anotados en el paso 3, en la siguiente clave del registro:
HKLM\SOFTWARE\Microsoft
\Windows\CurrentVersion\Run
6. Cierre el editor del Registro del sistema.
7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del troyano.
8. Busque y borre las siguientes carpetas:
c:\windows\system\empresas_archivos
c:\windows\system\personas_archivos
c:\windows\system\vip_archivos
c:\windows\system\zona_publica
|
Autor