PLATFORM:

Windows 98, ME, NT, 2000, XP, Server 2003

 OVER ALL RISK RATING:
 DAMAGE POTENTIAL::
 DISTRIBUTION POTENTIAL::
 REPORTED INFECTION:
 Beeinträchtigung der Systemleistung ::
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW



Agrega entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema.
Puede crear su propio componente de servidor.
Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.
Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión.

  TECHNICAL DETAILS

INITIAL SAMPLES RECEIVED DATE: 01 января 0001



Técnica de inicio automático


Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

1
1=1

             (Nota: el valor predeterminado de la citada entrada de registro es 2).

C:\Documents and Settings\Administrator\My Documents
C:\Documents and Settings\Administrator\My Documents=C:\Documents and Settings\Administrator\My Documents

             (Nota: el valor predeterminado de la citada entrada de registro es exe).



Rutina de puerta trasera


Puede crear su propio componente de servidor.



Modificar el archivo HOSTS


Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:



Robo de información


Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión.



Instalación


Infiltra los archivos siguientes:

  • test2


Crea las siguientes copias de sí mismo en el sistema afectado:

  • test2



Otros detalles


Agrega las siguientes líneas o entradas de registro como parte de su rutina:

  • 1



Otras modificaciones del sistema


Agrega las siguientes entradas de registro como parte de la rutina de instalación:

sdfkhsj
fh=90780

  SOLUTION



Step 1
Identificar y terminar los archivos detectados como TROJ_EXEC_S
[ learnMore ]
  1. Para los usuarios de Windows 98 y ME, puede que el Administrador de tareas de Windows no muestre todos los procesos en ejecución. En tal caso, utilice un visor de procesos de una tercera parte (preferiblemente, el Explorador de procesos) para terminar el archivo de malware/grayware/spyware. Puede descargar la herramienta en cuestión aquí.
  2. Si el archivo detectado aparece en el Administrador de tareas o en el Explorador de procesos, pero no puede eliminarlo, reinicie el equipo en modo seguro. Para ello, consulte este enlace para obtener todos los pasos necesarios.
  3. Si el archivo detectado no se muestra en el Administrador de tareas o el Explorador de procesos, prosiga con los pasos que se indican a continuación.


Step 2

Restaurar AUTOEXEC.BAT

  1. Abra AUTOEXEC.BAT con el Bloc de notas. Haga clic en Inicio>Ejecutar, escriba esta cadena de texto en el cuadro de entrada Abrir y, a continuación, pulse Intro:
    notepad C:autoexec.bat
  2. Elimine las siguientes entradas que el malware ha creado:
  3. Cierre AUTOEXEC.BAT y haga clic en Sí cuando se le pida guardar.

Step 3
Mostrar archivos y carpetas Este paso permite mostrar los archivos y carpetas ocultos en el sistema.

Para mostrar los archivos y carpetas ocultos:

• Para usuarios de Windows 98 y NT:

  1. Abra el Explorador de Windows. Para ello, haga clic con el botón derecho en Inicio y haga clic en Explorar.
  2. En el menú Ver, haga clic en Opciones o en Opciones de carpeta.
  3. Haga clic en la pestaña Ver.
  4. Seleccione Mostrar todos los archivos y, a continuación, haga clic en Aceptar.

• Para usuarios de Windows ME, 2000, XP y Server 2003:

  1. Abra el Explorador de Windows. Para ello, haga clic con el botón derecho en Inicio y haga clic en Explorar.
  2. En el menú Herramientas, haga clic en Opciones de carpeta.
  3. Haga clic en la pestaña Ver.
  4. Seleccione Mostrar todos los archivos y carpetas ocultos y, a continuación, haga clic en Aceptar.

Step 4
Eliminar estas cadenas que el malware/grayware/spyware ha añadido al archivo HOSTS Este paso impide que se produzcan redirecciones a sitios Web maliciosos o no autorizados.

    This is for testing purposes only11


Para editar los archivos HOSTS del equipo:

  1. Abra el siguiente archivo con un editor de texto (como NOTEPAD):
    • En Windows 98 y ME:
      %Windows%HOSTS.SAM
    • En Windows NT, 2000, XP y Server 2003:
      %System%driversetcHOSTS
  2. Elimine las siguientes entradas:
        

      ALSO This is for testing purposes only11

  3. Guarde el archivo y cierre el editor de texto.

Step 5

INSTRUCCIONES PARA LA ELIMINACIÓN AUTOMÁTICA

INSTRUCCIONES PARA LA ELIMINACIÓN MANUAL



Step 6

INSTRUCCIONES PARA LA ELIMINACIÓN AUTOMÁTICA

Para eliminar automáticamente este malware del sistema, utilice la aplicación Fixtool especial de Trend Micro. Descargue, extraiga y ejecute Fixtool en la misma carpeta donde se ubica el archivo de patrones más reciente de Trend Micro. Para obtener instrucciones detalladas, consulte el archivo de texto que se proporciona junto con Fixtool.

INSTRUCCIONES PARA LA ELIMINACIÓN MANUAL



Did this description help? Tell us how we did.