Trojan-Downloader.Win32.vb.eql

Información de Virus:Trojan-downloader.win32.vb.eql

Fecha de descubrimiento:

26 de Mayo 2008

Tipo de Virus:

Caballo de Troya

Otras verciones:

.bj .dc .n

Descripción:

Este troyano descarga otro programa malicioso desde Internet y lo ejecuta en el equipo capturado sin el conocimiento ni consentimiento del usuario. Se trata de un archivo Windows PE EXE. Tiene un tamaño de 1.509.125 bytes.

Instalación:

Cuando se ejecuta, el troyano copia su archivo ejecutable en el directorio de sistema de Windows como “WINSP00L.EXE”

Daño:

Cuando se ejecuta, el troyano extrae de su cuerpo los siguientes archivos a la carpeta “E_4” en la carpeta temporal del usuario de Windows:

%Temp%\E_4\krnln.fnr: 1110016 bytes in size

%Temp%\E_4\shell.fne: 61440 bytes in size

%Temp%\E_4\eAPI.fne: 335872 bytes in size

%Temp%\E_4\internet.fne: 196608 bytes in size

%Temp%\E_4\spec.fne: 86016 bytes in size

%Temp%\E_4\RegEx.fne: 167936 bytes in size

%Temp%\E_4\dp1.fne: 126976 bytes in size

%Temp%\E_4\com.run: 278528 bytes in size

Después, el troyano copia estos archivos en la carpeta de sistema de Windows con los mismos nombres:

%System%\krnln.fnr

%System%\shell.fne

%System%\eAPI.fne

%System%\internet.fne

%System%\spec.fne

%System%\RegEx.fne>/h5>

%System%\dp1.fne

%System%\com.run

Acto seguido, extrae los siguientes archivos a la carpeta de sistema de Windows:

%System%\ul.dll: 2404 bytes in size

%System%\og.dll: 692 bytes in size

%System%\og.edt: 512 bytes in size

Después, el troyano se contacta con la siguiente URL:

http://www.*****base.cn/install.htm?pn=M080410

El troyano también se contacta con las siguientes direcciones:

http://www.microsoft.com

http://hi.baidu.com/siletoyou

http://www.baihe.googlepages.com/ul.htm

http://www.bloguser.googlepages.com/au.htm

Como eliminar manualmente:

1-Use Administrador de tareas para terminar el proceso del troyano.

WINSP00L.EXE

2-Elimine el archivo troyano original (su localización dependerá de la manera en que el programa haya penetrado el equipo capturado).

3-Borre la copia del troyano:

%System%\WINSP00L.EXE

4-Borre todos los archivos y carpetas creadas por el troyano:

%Temp%\E_4\krnln.fnr

%Temp%\E_4\shell.fne

%Temp%\E_4\eAPI.fne

%Temp%\E_4\internet.fne

%Temp%\E_4\spec.fne

%Temp%\E_4\RegEx.fne

%Temp%\E_4\dp1.fne

%Temp%\E_4\com.run

%Temp%\E_4

%System%\krnln.fnz

%System%\shell.fne

%System%\eAPI.fne

%System%\internet.fne

%System%\spec.fne

%System%\RegEx.fne

%System%\dp1.fne

%System%\com.run

%System%\ul.dll

%System%\og.dll

%System%\og.edt

5-Borre la siguiente llave system registry:

[HKLM\Software\Microsoft\WINDOWS\CurrentVersion\Run] "WINSP00L"="%System%\WINSP00L.EXE

6-Verifique si lo siguientes archivos están en cada DISCO portátil:

Recycled.exe

autorun.inf

Si los detecta, borre estos archivos.

7-Borre todos los archivos desde Temporary Internet Files. Esta carpeta contiene archivos infectados.