VB.EQA
Troyano para plataforma Windows que roba información personal del sistema infectado y la envía a servidores de Internet
Detalles técnicos
Peligrosidad:1 – Mínima
Nombre completo del virus: Trojan.W32/VB.EQA
Tipo de código: Trojan
Troyano para plataforma Windows que roba información personal del sistema infectado y la envía a servidores de Internet
Peligrosidad:1 – Mínima
Nombre completo del virus: Trojan.W32/VB.EQA
Tipo de código: Trojan
Plataformas afectadas: W32
Alias:
Cuando VB.EQA se ejecuta, realiza las siguientes acciones:
Crea el fichero siguiente:
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).
Para cargarse en memoria al iniciar el sistema, crea la siguiente entrada en el registro:
Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Valor: Userinit = %System%userinit.exe, %System%sdra64.exe
Se conecta a servidores de Internet para descargar software malicioso y para enviarle la información robada, se conecta a:
Elimine los siguientes ficheros:
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows. Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).
Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
Restaure las siguientes entradas del registro al valor que tuviesen anteriormente, a continuación se indican sus valores por defecto:
Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Valor por defecto: Userinit = %System%userinit.exe, %System%sdra64.exe
Troyano que afecta a la plataforma Windows con capacidad de autoejecución y de robar información confidencial.
Peligrosidad:2 – Baja
Nombre completo del virus: Trojan.W32/AutoIt.JI
Tipo de código: Trojan
Plataformas afectadas: Microsoft Windows de 32 bits, pudiendo afectar a Microsoft Windows Vista/XP/Server 2008/Server 2003/2000/NT/Me/98/95 :XP Microsoft Windows XP/ 2003 Microsoft Windows Server 2003/ 2000 Microsoft Windows 2000/ NT Microsoft Windows NT/ Me Microsoft Windows Millennium/ 98 Microsoft Windows 98/ 95
Alias:
Capacidad de autopropagación: No
Carece de rutina propia de propagación.
Cuando AutoIt.JI se ejecuta, realiza las siguientes acciones:
cuando se ejecuta por primera vez se copia así mismo en los siguientes ficheros:
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).
Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:Windows (Windows 95/98/Me/XP) o C:Winnt (Windows NT/2000).
Accede a Internet y conecta con el siguiente servidor remoto a través de HTTP
Crea la siguiente entrada en el registro de Windows para ejecutarse en cada inicio de sesión:
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionRun Valor: Msn Messsenger = %System% regsvr.exe
Modifica la siguiente entrada en el registro de Windows para ejecutarse en cada inicio de sesión:
Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Valor: Shell = Explorer.exe regsvr.exe
Establece la siguiente entrada en el registro de Windows para deshabilitar la edición del propio registro:
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem Valor: DisableRegistryTools = 0x00000001
Establece las siguientes entradas de registro:
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem Valor: DisableTaskMgr = 0x00000000
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer Valor: NofolderOptions = 0x00000000
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings Valor: GlobalUserOffline = 0x00000000
Elimine los siguientes ficheros:
Nota: %System% es una variable que hace referencia al directorio del sistema de Windows.
Por defecto es C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000), o C:WindowsSystem32 (Windows XP).
Nota: %Windir% es una variable que hace referencia al directorio de instalación de Windows.
Por defecto es C:Windows (Windows 95/98/Me/XP) o C:Winnt (Windows NT/2000).
Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes entradas del registro:
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionRun Valor: Msn Messsenger = %System% regsvr.exe
Restaure las siguientes entradas del registro al valor que tuviesen anteriormente:
Clave: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon Valor: Shell = Explorer.exe regsvr.exe
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem Valor: DisableTaskMgr = 0x00000000
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer Valor: NofolderOptions = 0x00000000
Clave: HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings Valor: GlobalUserOffline = 0x00000000
0 comentarios
Deja un comentario