Categoría: Alerta Virus, Noticias
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas
Loading...

Virus Bredolab.AM

Virus Bredolab.AM

Este virus es un troyano que, después del gusano Netsky. Q, esta siendo de los más detectados entre los usuarios.

Entra en el equipo a través de un correo electrónico que representa ser una orden de pedido de la tienda buy.com. Su funcion es monitorizar las acciones del usuario y obtener información personal y confidencial como contraseñas o trajetas de credito. Esta información es enviada a través de HTTP POST a otra direccion.

El daño que causa es medio, al igual que su grado de dispersibilidad. El virus no tiene capacidad de efectuarse de forma automatica cada ve que se reinicie el equipo. Las plataformas que se pueden ver afectadas son Microsoft Windows de 32 de bits, Windows XP y Vista.

La forma de propagacion consiste en el envio masivo a todas las direcciones de correo electrónico que contiene el equipo infectado. Puede tener como asunto alguno uno de estos dos códigos: Shipping Confirmation For Order N.0290 o Shipping Confirmation For Order N.3588.

El mesaje suele tener uno de los siguientes contenidos:

Hi!
Thank you for shopping at our internet store!
We have successfully received your payment.
Your order has been shipped to your billing address.
You have ordered “Asus EeeBox EBXB202”.
You can find your tracking number in attached to the e-mail document.
Please print the label to get your package.
We hope you enjoy your order!
 
Buy.com
 
Customer Service.

Otro tipo de mensaje que contiene el virus puede ser:

Hello!
 
Thank you for shopping at our internet store!
We have successfully received your payment.
 
Your order has been shipped to your billing address.
You have ordered “HP Compaq 615”.
 
You can find your tracking number in attached to the e-mail document.
Please print the label to get your package.
 
We hope you enjoy your order!
 
Buy.com
Customer Service.

Cuando el troyano entra en el ordenador crea un icono de un documento de Microsoft Word para que el usuario ejecute el archivo que el mensaje lleva adjunto. Cuando se ejecuta el fichero se establecen los siguientes archivos:

·                         %System% \sys.bat  (este archivo se utiliza para borrarse a sí mismo)

·                         %System% \[9 letras aleatorias].dll. 

El segundo archivo cambia o crea las claves que se muestran a continuación:

Clave: HKLM\SOFTWARE\Classes\CLSID\
 Valor: (Default) ->Microsoft Online Helper!

 

Clave: HKLM\SOFTWARE\Classes\CLSID\\InProcServer32
 Valor: (Default) ->%SYSTEM32%\frjacnwrm.dll

 

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
 Valor: (Default) ->Microsoft Online Helper!
 

En cuanto a Internet Explorer, cambia su configuración alterando esta clave del registro:

Clave: HKCU\Software\Microsoft\Internet Explorer\Main
 Valor: Enable Browser Extensions ->yes

 

El archivo .dll es creado para controlar las acciones del usuario infectado y conseguir datos confidenciales de tarjetas bancarias o conseguir contraseñas que se envían a través de HTTP POST a: http://[XXXX]idbredov.ru 

Para eliminar el virus se deben tomar varias medidas. Si usa la aplicación Windows Me, XP o Vista, en primer lugar puede recurrir ‘Restauración del Sistema’ para volver a un momento de restauración que se haya producido antes de la infección del virus. De esta manera se eliminarán los cambios que se han hecho en Windows desde a última restauración.

 

Si no se puede volver a un punto de restauración anterior y tampoco se pueden borrar los d¡ficheros es conveniente asegurarse de que el virus no se está ejecutando en ese momento. Si es así, hay qye desactivarlo y proceder a borrar los ficheros y a continuación, deshacer todos los cambiados que ha producido la infección.

Se deben borrar las entradas de registro que aparecen a continuación:

Clave: HKLM\SOFTWARE\Classes\CLSID\
 Valor: (Default) -> Microsoft Online Helper!
 

Clave: HKLM\SOFTWARE\Classes\CLSID\\InProcServer32
 Valor: (Default) -> %SYSTEM32%\frjacnwrm.dll

 

Clave: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
 Valor: (Default) -> Microsoft Online Helper!
 

Se deben borrar también los archivos temporales y los archivos que contenga la papelera de reciclaje.

Para asegurarse de que no hay rastro del virus es conveniente reiniciar el ordenador y explorar el equipo con un antivirus para comprobar que el virus se ha eliminado completamente

, , , , ,

Leave a Reply