Información de Virus:Trojan-downloader.win32.vb.eql
Fecha de descubrimiento:
26 de Mayo 2008
Tipo de Virus:
Caballo de Troya
Otras verciones:
.bj .dc .n
Descripción:
Este troyano descarga otro programa malicioso desde Internet y lo ejecuta en el equipo capturado sin el conocimiento ni consentimiento del usuario. Se trata de un archivo Windows PE EXE. Tiene un tamaño de 1.509.125 bytes.
Instalación:
Cuando se ejecuta, el troyano copia su archivo ejecutable en el directorio de sistema de Windows como “WINSP00L.EXE”
Daño:
Cuando se ejecuta, el troyano extrae de su cuerpo los siguientes archivos a la carpeta “E_4” en la carpeta temporal del usuario de Windows:
%Temp%\E_4\krnln.fnr: 1110016 bytes in size
%Temp%\E_4\shell.fne: 61440 bytes in size
%Temp%\E_4\eAPI.fne: 335872 bytes in size
%Temp%\E_4\internet.fne: 196608 bytes in size
%Temp%\E_4\spec.fne: 86016 bytes in size
%Temp%\E_4\RegEx.fne: 167936 bytes in size
%Temp%\E_4\dp1.fne: 126976 bytes in size
%Temp%\E_4\com.run: 278528 bytes in size
Después, el troyano copia estos archivos en la carpeta de sistema de Windows con los mismos nombres:
%System%\krnln.fnr
%System%\shell.fne
%System%\eAPI.fne
%System%\internet.fne
%System%\spec.fne
%System%\RegEx.fne>/h5>
%System%\dp1.fne
%System%\com.run
Acto seguido, extrae los siguientes archivos a la carpeta de sistema de Windows:
%System%\ul.dll: 2404 bytes in size
%System%\og.dll: 692 bytes in size
%System%\og.edt: 512 bytes in size
Después, el troyano se contacta con la siguiente URL:
http://www.*****base.cn/install.htm?pn=M080410
El troyano también se contacta con las siguientes direcciones:
http://www.microsoft.com
http://hi.baidu.com/siletoyou
http://www.baihe.googlepages.com/ul.htm
http://www.bloguser.googlepages.com/au.htm
Como eliminar manualmente:
1-Use Administrador de tareas para terminar el proceso del troyano.
WINSP00L.EXE
2-Elimine el archivo troyano original (su localización dependerá de la manera en que el programa haya penetrado el equipo capturado).
3-Borre la copia del troyano:
%System%\WINSP00L.EXE
4-Borre todos los archivos y carpetas creadas por el troyano:
%Temp%\E_4\krnln.fnr
%Temp%\E_4\shell.fne
%Temp%\E_4\eAPI.fne
%Temp%\E_4\internet.fne
%Temp%\E_4\spec.fne
%Temp%\E_4\RegEx.fne
%Temp%\E_4\dp1.fne
%Temp%\E_4\com.run
%Temp%\E_4
%System%\krnln.fnz
%System%\shell.fne
%System%\eAPI.fne
%System%\internet.fne
%System%\spec.fne
%System%\RegEx.fne
%System%\dp1.fne
%System%\com.run
%System%\ul.dll
%System%\og.dll
%System%\og.edt
5-Borre la siguiente llave system registry:
[HKLM\Software\Microsoft\WINDOWS\CurrentVersion\Run]
"WINSP00L"="%System%\WINSP00L.EXE
6-Verifique si lo siguientes archivos están en cada DISCO portátil:
Recycled.exe
autorun.inf
Si los detecta, borre estos archivos.
7-Borre todos los archivos desde Temporary Internet Files. Esta carpeta contiene archivos infectados.