Análisis realizado por : Karl Dominguez   
 Plataforma:

Windows 98, ME, NT, 2000, XP, Server 2003

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Impacto en el sistema :
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Trojan

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.

  Detalles técnicos

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %System%\karld.exe
  • %System%\karld.exe
  • %System%\karld.exe
  • %System%\karld.exe
  • %System%\karld.exe
  • %System%\karld.exe
  • %SYSTEM%\karld.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Técnica de inicio automático

Elimina las siguientes claves de registro asociadas a aplicaciones antivirus y de seguridad:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
Type = 10

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
Start = 2

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ErrorControl = 0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ImagePath = %System%\{malware filename}.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
DisplayName = 222

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
ObjectName = LocalSystem

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Security
Security = {Hex Values}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
0 = Root\LEGACY_111\0000

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
Count = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111\Enum
NextInstance = 1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\111
malimalimali = waaaaaaaaaaaaaaaahhhhh

Modificar el archivo HOSTS

Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:

  • http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
  • http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
  • http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
  • http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn
  • http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FPALEVO%2EAN&VSect=Sn

  Soluciones

Motor de exploración mínimo 8.9

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploración, deben comprobar que tienen desactivada la opción Restaurar sistema para permitir la exploración completa del equipo.

Step 2

Reiniciar en modo seguro y eliminar esta clave del Registro

[ aprenda más ]

Importante: si modifica el Registro de Windows incorrectamente, podría hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe cómo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este artículo de Microsoft antes de modificar el Registro del equipo.

RESTORE
  • Cierre el Editor del Registro.

    • Step 3

    Descargar y aplicar este parche de seguridad No utilice estos productos hasta que se hayan instalado los parches adecuados. Trend Micro recomienda a los usuarios que descarguen los parches críticos en cuanto los proveedores los pongan a su disposición.

    Step 4

    Eliminar estas cadenas que el malware/grayware/spyware ha añadido al archivo HOSTS

    [ aprenda más ]
      DATA_GENERIC
    • Guarde el archivo y cierre el editor de texto.


      • Rellene nuestra encuesta!