Categoría: Noticias
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas
Loading...

Renos.AIG

Renos.AIG

Este malware es un troyano que instala archivos en el ordenador afectado y cambia el registro. Es uno de los virus que actualmente más se está detectando, según las estadística de INTECO.

Se propaga mediante el envío masivo de correo electrónico a todas las direcciones que contiene el equipo al que infecta. Suele llevar de asunto el nombre de: Fedex tracking number 2344492918, y como archivo adjunto, ZD76128824.Zip. Dentro de este archivo está comprimido el fichero WD6128922.Exe, con una copia del gusano que infecta el equipo y se envía a sus contactos.

El contenido del mensaje aparece en inglés y se informa al usuario que no se le ha podido mandar un paquete. El mensaje es el siguiente:

Remitente: Falsificado
Asunto: Fedex tracking number 2344492918
Cuerpo del mensaje:

Unfortunately we were not able to deliver postal package you sent on August the 1st in time because the recipient´s address is not correct. Please print out the invoice copy attached and collect the package at our office Your FEDEX.com

Cuando el usuario abre el archivo adjunto, el virus se ejecuta y realiza la carpeta %System% \wsnpoem y en %System% \ntos.exe instala una copia de sí mismo. También cambia la entrada de registro que se muestra a continuación para efectuarse cada vez que el equipo arranque:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Valor: Userinit = ” %System% \Userinit.exe,%System%\ntos.exe,”

A continuación, realiza las próximas entradas de registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network Valor: UID = “{nombre del equipo}_{números aleatorios}”

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{19127AD2-394B-70F5-C650-B97867BAA1F7}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{4B19E1F3-5B47-C615-C75A-E0FD63DB477F}

Se encarga de abrir un puerto TCP aleatorio para contactar con la dirección: http://blatundalqik.ru/[- eliminado -]rev.bin y para ejecutar programas maliciosos entra en la página  http://66.199.242.115

 

 

En caso de haber sido afectado por el virus se debe intentar eliminarlo. Para ello, si se utiliza Windows XP, Me o Vista, es conveniente utilizar la opción de ‘Restauración de Sistema’ para volver a un punto anterior al de la infección, en la que el equipo no contenía el virus.

Si no se conoce un punto anterior al de la infección, o no se puede ir a él, habría que tomar otras medidas. En primer lugar, es conveniente desactivar la opción de ‘Restauración del Sistema’ y después reiniciar el equipo en ‘Modo Seguro’ o ‘Modo a Prueba de Fallos’.

A continuación, con un antivirus debidamente actualizado, se debe revisar el equipo para hallar todas las copias del virus que contiene.

La carpeta %System% \wsnpoem debe ser borrada, y también los siguientes archivos:

%System% \ntos.exe

%System% \wsnpoem\audio.dll

%System% \wsnpoem\video.dll

En caso de que la infeccion no pueda restaurarse o los archivos no se puedan eliminar, hay que asegurarse de que los archivos no estén en uso en ese momento. Para ello, hay que entrar en la opcion ‘Administracion de tareas’. Si se dispone de Windiws Me se debe seleccionar el nombre del proceso y pararlo, en cambio, si se utiliza Windows XP, 2000 o Vista, hay que entrar en ‘Procesos’ y pinchar con el botón derecho del raton en el proceso malicioso y elegir ‘Terminar Proceso’.

Después, hay que intentar borrar de nuevo los archivos maliciosos del virus.

Una vez eliminados, hay que modificar el registro para descomponer los cambios que ha causado el virus. Hay que tener precaución a la hora de trabajar en el registro, ya que si se cambian algunas claves incorrectamente el ordenador puede quedar inútil. Se deben borrar las siguientes claves de registro y todo su contenido.

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{19127AD2-394B-70F5-C650-B97867BAA1F7}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}\

Clave: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer \{4B19E1F3-5B47-C615-C75A-E0FD63DB477F}\

Y también la entrada de registro:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network Valor: UID = “{nombre del equipo}_{números aleatorios}”

La entrada de registro después debe dejarse con su valor anterior. Su valor por defecto es el siguiente:

Clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Valor: Userinit = ” %System% \Userinit.exe,”

Los archivos temporales del equipo deben ser borrados, incluso los del navegados y los que se encuentren en la papelera de reciclaje.

Para finalizar, es conveniente reiniciar el equipo y revisarlo con un antivirus para asegurarse de que el virus ha sido debidamente eliminado.

, , , , ,

Leave a Reply