Categoría: Alerta Virus, Noticias
1 estrella2 estrellas3 estrellas4 estrellas5 estrellas
Loading...

Virus Daonol.I

Virus Daonol.I

Este nuevo virus es un troyano para Windows que cambia su configuración, redirige las búsquedas Web, , monitoriza el tráfico de la red, roba credenciales FTP, no deja acceder a determinados sitios web y bloquea la utilización varios programas.

Causa un daño alto y puede propagarse por correo electrónico, descargándoselo mediante redes P2P o se lo puede descargar el usuario sin darse cuenta mientras visita paginas maliciosas, etc.

Cuando el troyano llega al equipo crea un componente DLL con un nombre de fichero que aparece al azar en el directorio original al directorio actual. Acto seguido, modifica el registro del sistema para que este nuevo fichero aparezca inscrito como una librería DLL para Windows NT. Por ejemplo:

Clave:HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

Valor: “LoadAppInit_DLLS”=”1

Entre sus efectos se encuentra que tras crear el componente DLLA, hace un hook a las siguientes APIs para controlar la red y las acciones del sistema:

  • kernel32!CreateProcessW
  • kernel32!ExitProcess
  • ntdll!ZwOpenKey
  • ws2_32.dll!recv
  • ws2_32.dll!send
  • ws2_32.dll!connect
  • ws2_32.dll!WSARecv
  • ws2_32.dll!WSASend

El virus también se desinstala así mismo cuando se encuentra el fichero DaonoFix.

El troyano tiene varias maneras de evitar ser detectado. Por un lado deshabilita las claves del registro que están en relación con él mismo, y por otro, se desinstala a sí mismo si encuentra un proceso que crea estas cadenas (las cadenas estan en relación con herramientas anti-rootkit): gmer y le38.

Además, no permite que algunos procesos en relación con aplicaciones de seguridad se ejecuten si sus nombres tienen estas cadenas texto:

  • IceWord
  • Rootkit Unhooker
  • Anti rootkit

En caso de sufrir el ataque de este virus se deben tomar varias medidas. Si usa la aplicación Windows Me, XP o Vista en primer lugar puede recurrir ‘Restauración del Sistema’ para eliminar el virus volviendo a un momento de restauración que se haya produciso antes de la infección. De esta manera se eliminarán los cambios que se han hecho en Windows desde a última restauración.

Si esta opción no es posible, se deben localizar todas las copias del virus usando el antivirus y eliminar el fichero: C:\Windows\..\tpqnh.hmq.

Si el virus esta ejecutándose en ese momento deberá detenerlo primero antes de empezar a eliminarlo.

Una vez que se ha eliminado se deben borrar todos los archivos temporales del ordenador y vaciar la papelera de reciclaje. 

A continuación es conveniente reiniciar al ordenador y volver a revisarlo con el antivirus para asegurarte que el troyano se ha eliminado correctamente.

, , , , , , , , , , , , , , , , , , , , , , , , ,

Leave a Reply